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ΕΦΗΜΕΡΙΣΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ 


ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ 

ΤΕΥΧΟΣ Π ΡΩΤΟ Αρ. Φύλλου 77 

30 Μαρτίου 2005 


ΑΠΟΦΑΣΕΙ Σ 

Τροποποίηση της ΠΔ/ΤΕ 2438/1998, όπως ισχύει, σχετικά 
με το πλαίσιο αρχών λειτουργίας και κριτηρίων αξιο¬ 
λόγησης των Συστημάτων Εσωτερικού Ελέγχου των 
πιστωτικών ιδρυμάτων και με τον προσδιορισμό αρμο¬ 
διοτήτων των οργάνων τους στον τομέα του Εσωτερι¬ 
κού Ελέγχου. 

ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ 
Η ΕΠΙΤΡΟΠΗ ΤΡΑΠΕΖΙΚΩΝ 
ΚΑΙ ΠΙΣΤΩΤΙΚΩΝ ΘΕΜΑΤΩΝ 

(Συνεδρίαση 193/11.3.2005, θέμα 1) 

Αφού έλαβε υπόψη: 

α) τις διατάξεις του άρθρου 18 του Ν. 2076/1992 «Ανά¬ 
ληψη και άσκηση δραστηριότητας πιστωτικών ιδρυμάτων 
και άλλες συναφείς διατάξεις», όπως ισχύει, 
β) την ΠΔ/ΤΕ 2438/1998, όπως ισχύει, σχετικά με το 
πλαίσιο αρχών λειτουργίας και κριτηρίων αξιολόγησης 
των Συστημάτων Εσωτερικού Ελέγχου των πιστωτικών 
ιδρυμάτων και με τον προσδιορισμό αρμοδιοτήτων των 
οργάνων τους στον τομέα του Εσωτερικού Ελέγχου και 
ειδικότερα το κεφ. VI αυτής περί των βασικών αρχών και 
κριτηρίων λειτουργίας των συστημάτων πληροφορικής, 
γ) την ΠΔ/ΤΕ 1313/9.6.88 «Στοιχεία που θα υποβάλλουν 
τα πιστωτικά ιδρύματα στην Τράπεζα της Ελλάδος για την 
άσκηση ελέγχου φερεγγυότητας, ρευστότητας και απο- 
δοτικότητας», όπως ισχύει, και ειδικότερα την Κατάσταση 
1 του Πίνακα Γ1 περίτων προσώπων που έχουν ειδική σχέ¬ 
ση με το πιστωτικό ίδρυμα, 

δ) την από 21.2.2005 σχετική εισήγηση της Διεύθυνσης 
Εποπτείας Πιστωτικού Συστήματος της Τράπεζας της Ελ¬ 
λάδος, 

ε) τη σκοπιμότητα περαιτέρω εξειδίκευσης του πιο πά¬ 
νω πλαισίου, για την αποτελεσματικότερη και ασφαλέ¬ 
στερη λειτουργίατωνσυστημάτωνπληροφορικής, ως βα¬ 
σικής παραμέτρου της πρόληψης και αντιμετώπισης του 
λειτουργικού κινδύνου των πιστωτικών ιδρυμάτων, λαμ- 
βανομένων ιδίως υπόψη των εξελίξεων στον τομέα της 
ηλεκτρονικής τραπεζικής, 

στ) την ανάγκη να διασφαλίζεται, μέσω κατάλληλων 
εσωτερικών εγκριτικών διαδικασιών κάθε πιστωτικού 
ιδρύματος, ότι οι όροι των πιστοδοτήσεων προς τα πρό¬ 
σωπα που έχουν ειδική σχέση με αυτό δεν αποκλίνουν 


από την καταγεγραμμένη γενική πιστοδοτική του πολιτι¬ 
κή, αποφάσισε τα ακόλουθα: 

Συμπληρώνονται οι διατάξεις της ΠΔ/ΤΕ 2438/6.8.1998, 
ως εξής: 

1. Η υποχρέωση λεπτομερούς καταγραφής των όρων 
και διαδικασιών λειτουργίας του πιστωτικού ιδρύματος, 
στο πλαίσιο εφαρμογής του κεφ. III της ΠΔ/ΤΕ 
2438/1998, αφορά και τις κάθε μορφής πιστοδοτήσεις ή 
συμμετοχές προς τα πρόσωπα που έχουν ειδική σχέση 
με το πιστωτικό ίδρυμα (σύμφωνα με τα οριζόμενα στην 
Κατάσταση 1 του Πίνακα Γ1 της ΠΔ/ΤΕ 1313/1988, όπως 
εκάστοτε ισχύει), ώστε να διασφαλίζεται ότι: 

α) οι όροι των σχετικών πιστοδοτήσεων δεν αποκλίνουν 
από τους όρους που εφαρμόζονται στις αντίστοιχες κα¬ 
τηγορίες λοιπών χρηματοδοτήσεων, καθώς και 

β) κάθε συμμετοχή ή πιστοδότηση στα πιο πάνω πρόσω¬ 
πα πραγματοποιείται μετά από έγκριση του Διοικητικού 
Συμβουλίου ή απόφαση της Γ ενικής Συνέλευσης των μετό- 
χωντου πιστωτικού ιδρύματος, όπου κατά Νόμο απαιτείται. 

Για τη διευκόλυνση της ομαλής χρηματοδοτικής κάλυ¬ 
ψης των αναγκών της δραστηριότητας των επιχειρήσεων 
που συμπεριλαμβάνονται στα πρόσωπα που διατηρούν 
ειδική σχέση με το πιστωτικό ίδρυμα, κατά τα ανωτέρω, 
το Διοικητικό Συμβούλιο του πιστωτικού ιδρύματος μπο¬ 
ρεί να καθορίζει ένα εύλογο όριο πιστοδοτήσεων μέχρι το 
οποίο δεν θα απαιτείται η προηγούμενη έγκριση του Δ.Σ., 
αλλά απλή γνωστοποίηση της αντίστοιχης πιστοδότησης. 

2. Τα αναφερόμενα στην πιο πάνω παρ. 1 πρόσωπα που 
έχουν ειδική σχέση με το πιστωτικό ίδρυμα, οφείλουν να 
γνωστοποιούν στο Διοικητικό του Συμβούλιο το σύνολο 
του υφιστάμενου υπολοίπου των πιστοδοτήσεών τους 
από συνδεδεμένες με το πιστωτικό ίδρυμα επιχειρήσεις, 
κατά την έννοια του άρθρου 42ε του Ν. 2190/1920, όπως 
ισχύει, εντός 20 ημερών από το τέλος κάθε ημερολογια¬ 
κού έτους. Η υποχρέωση αυτή είναι ανεξάρτητη από την 
υποβολή από το πιστωτικό ίδρυμα στην Τράπεζα της Ελ¬ 
λάδος υπολοίπων των σχετικών πιστοδοτήσεων, κατ’ 
εφαρμογή της ΠΔ/ΤΕ 1313/1988, όπως εκάστοτε ισχύει. 

3. α. Στο συνημμένο στην παρούσα απόφαση Παράρτη¬ 
μα, το οποίο αποτελεί εφεξής αναπόσπαστο τμήμα της 
ΠΔ/ΤΕ 2438/6.8.1998 (όπως συμπληρώνεται με την πα¬ 
ρούσα απόφαση), καθορίζονται οι βασικές αρχές που 
οφείλουν να τηρούν για την ασφαλή και αποτελεσματική 
λειτουργία των συστημάτων πληροφορικής τα πιστωτικά 
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ιδρύματα, των οποίων το Σύνολο Ενεργητικού υπερβαίνει 
το ποσό των εκατό εκατομμυρίων (100.000.000) ευρώ. 

β. Εξουσιοδοτείται η Διεύθυνση Εποπτείας Πιστωτικού 
Συστήματος της Τράπεζας της Ελλάδος να εξειδικεύει 
περαιτέρω τις διατάξεις της ΠΔ/ΤΕ 2438/6.8.1998, όπως 
συ μπληρώνεται με την παρούσα απόφαση, καθώς και την 
έκταση συμμόρφωσης προς τις αρχές του πιο πάνω Πα¬ 
ραρτήματος των πιστωτικών ιδρυμάτων, των οποίων το 
Σύνολο του Ενεργητικού υπολείπεται του ως άνω ελάχι¬ 
στου ορίου. 

Κατά τα λοιπά οι διατάξεις της ΠΔ/ΤΕ 2438/6.8.1998, 
όπως ισχύει, παραμένουν αμετάβλητες. 

Από τις διατάξεις της παρούσας απόφασης δεν προκα- 
λείται δαπάνη σε βάρος του Κρατικού Προϋπολογισμού. 

Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της 
Κυβερνήσεως. 

Ο Πρόεδρος Τα Μέλη Ο Γραμματέας 

Ακριβές αντίγραφο 

Αθήνα, 21 Μαρτίου 2005 

Ο Γραμματέας 
Σ. ΠΑΠΑΔΟΠΟΥΛΟΣ 


ΠΑΡΑΡΤΗΜΑ 
(ΠΔ/ΤΕ 2438/1998) 

ΑΡΧΕΣ ΑΣΦΑΛΟΥΣ ΚΑΙ ΑΠΟΤΕΛΕΣΜΑΤΙΚΗΣ 
ΛΕΙΤΟΥΡΓΙΑΣ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ 
ΣΤΑ ΠΛΑΙΣΙΑ ΤΗΣ ΔΙΑΧΕΙΡΙΣΗΣ ΤΟΥ ΛΕΙΤΟΥΡΓΙΚΟΥ 
ΚΙΝΔΥΝΟΥ ΑΠΟ ΤΑ ΠΙΣΤΩΤΙΚΑ ΙΔΡΥΜΑΤΑ 

Περιεχόμενα 

ΕΙΣΑΓΩΓΗ.3 

Α. ΟΡΓΑΝΩΣΗ ΚΑΙ ΔΙΟΙΚΗΣΗ ΠΛΗΡΟΦΟΡΙΚΗΣ.4 

Α1. Διακυβέρνηση Πληροφορικής.4 

Α2. Οργάνωση Υπηρεσιακής Μονάδας Πληροφορικής ..7 

Α3. Σχέσειςμε Εξωτερικούς Συνεργάτες.7 

Β. ΑΝΑΠΤΥΞΗ ΚΑΙ ΠΡΟΜΗΘΕΙΑ ΣΥΣΤΗΜΑΤΩΝ.10 

Β1. Ανάπτυξη Συστημάτων.10 

Β2. Προμήθεια Συστημάτων.13 

Γ. ΛΕΙΤΟΥΡΓΙΑ ΚΑΙ ΥΠΟΣΤΗΡΙΞΗ.15 

Γ1. Λειτουργία Συστημάτων.15 


Γ2. Φυσική Ασφάλεια.18 

Γ3. Λογική ασφάλεια.19 


(α) για την ασφάλεια των προσβάσεων στα συστήματα .20 

(β) για την προστασία των δεδομένων.21 

(γ) γιατηνπροστασίατων συστημάτων.22 

(δ) για την ασφάλεια της δικτυακής υποδομής και των επι¬ 
κοινωνιών .23 

Γ4. Σχέδια Συνέχειας Εργασιών & Ανάκαμψης από Κατα¬ 
στροφή .25 

Δ. ΕΛΕΓΧΟΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ.28 

ΕΙΣΑΓΩΓΗ 

Η Τράπεζα της Ελλάδος στο πλαίσιο των αρμοδιοτήτων 
της, προσδίδει ιδιαίτερη σημασία στην ασφαλή και αποτε¬ 
λεσματική λειτουργία των Συστημάτων Πληροφορικής των 
εποπτευομένων Πιστωτικών Ιδρυμάτων (ΠΙ). Το βασικό 
πλαίσιο αρχών και κριτηρίων για τα Πληροφοριακά Συστή¬ 
ματα (ΠΣ) τέθηκε με την Π.Δ./Τ.Ε. 2438/98 με στόχο την 
επάρκεια του συστήματος εσωτερικού ελέγχου. Η παρού¬ 
σα θέτει ένα δομημένο και λεπτομερές πλαίσιο γενικών αρ¬ 
χών για την ασφαλή και αποτελεσματική λειτουργία των 


Πληροφοριακών Συστημάτων, λαμβάνοντας παράλληλα 
υπόψη τις πλέον πρόσφατες εξελίξεις της πληροφορικής 
στον βαθμό που επηρεάζουν την λειτουργία των ΠΙ. Το συ¬ 
γκεκριμένο πλαίσιο θα αποτελέσει τη βάση αξιολόγησης 
των Πιστωτικών Ιδρυμάτων στο συγκεκριμένο τομέα. 

Η εφαρμογή του πλαισίου αρχών θα συμβάλλει σημα¬ 
ντικά στην αποτελεσματική διαχείριση του λειτουργικού 
κινδύνου που σχετίζεται με τα Πληροφοριακά Συστήμα¬ 
τα. Η ανάγκη αυτή υπαγορεύεται και από το νέο σύστημα 
Κεφαλαιακής Επάρκειας των ΠΙ της Επιτροπής της Βασι¬ 
λείας για την Τραπεζική Εποπτεία (ΒαεοΙ II), το οποίο ει¬ 
σάγει για πρώτη φορά τον λειτουργικό κίνδυνο στον υπο¬ 
λογισμό των κεφαλαιακών απαιτήσεων. 

Οι αρχές αυτές ομαδοποιούνται σε τέσσερις ενότητες 
και συγκεκριμένα στις: 

• Οργάνωση και Διοίκηση Πληροφορικής, όπου γίνεται 
αναφορά στην Διακυβέρνηση της Πληροφορικής, στην 
οργάνωση της Υπηρεσιακής Μονάδας της Πληροφορι¬ 
κής και στις σχέσεις με τους Εξωτερικούς Συνεργάτες. 

• Ανάπτυξη και Προμήθεια Συστημάτων, όπου γίνεται 
αναφορά στις μεθοδολογίες, πρότυπα και διαδικασίες 
ανάπτυξης και προμήθειας Πληροφοριακών Συστημάτων 

• Λειτουργία και Υποστήριξη, όπου γίνεται αναφορά 
στις διαδικασίες λειτουργίας των συστημάτων, στην φυ¬ 
σική και λογική τους ασφάλεια, καθώς και στην διασφάλι¬ 
ση της συνέχειας των εργασιών του ΠΙ. 

• Έλεγχος Συστημάτων Πληροφορικής, όπου γίνεται 
αναφορά σε κανόνες και βασικές απαιτήσεις για την 
επαρκή και αποτελεσματική λειτουργία του Εσωτερικού 
Ελέγχου αναφορικά μετά Πληροφοριακά Συστήματα. 

Α. ΟΡΓΑΝΩΣΗ ΚΑΙ ΔΙΟΙΚΗΣΗ ΠΛΗΡΟΦΟΡΙΚΗΣ 

Α1. Διακυβέρνηση Πληροφορικής 

Η Διακυβέρνηση της Πληροφορικής (ΙηίοιτηαΙίοη ΤθοΙι- 
ηοίοργ Οονθτηαηοθ) είναι ευθύνη της Διοίκησης του ΠΙ 
και αποτελεί αναπόσπαστο τμήμα της Εταιρικής Διακυ¬ 
βέρνησης (ΟοτροταΙθ ΟονΘτηαποθ). Περιλαμβάνει το σύ¬ 
νολο των κατάλληλων επιχειρησιακών δομών και διαδικα¬ 
σιών μέσω των οποίων διασφαλίζεται ότι η Πληροφορική 
υποστηρίζει τη στρατηγική και τους στόχους του ΠΙ, προ¬ 
σθέτει αξία στον οργανισμό, διαχειρίζεται αποτελεσματι¬ 
κά τους πόρους που της διατίθενται, αξιολογεί και διαχει¬ 
ρίζεται αποτελεσματικά τους κινδύνους που απορρέουν 
από την λειτουργία των Πληροφοριακών Συστημάτων, 
εφαρμόζει πιστά την Πολιτική Ασφάλειας, είναι σε θέση 
να μετρήσει την αποτελεσματικότητα και αποδοτικότητα 
της και τέλος υλοποιεί ένα σύνολο μηχανισμών ελέγχου 
στα πλαίσια ενός γενικότερου ελεγκτικού πλαισίου. 

Για την επίτευξη των προαναφερθέντων το ΠI θα πρέπει: 

1. να διαθέτει καταγεγραμμένη και εγκεκριμένη στρατη¬ 
γική για την Πληροφορική, συμβατή με τη γενικότερη επι¬ 
χειρησιακή στρατηγική του. Η στρατηγική της Πληροφορι¬ 
κής οφείλει, αφ’ ενός μεν να υλοποιείτους επιχειρησιακούς 
στόχους που έχουν τεθεί από τη Διοίκηση του ΠΙ, αφ’ ετέ¬ 
ρου δε να διαμορφώνει έγκαιρα την απαραίτητη τεχνολο¬ 
γική υποδομή γιατις μελλοντικές ανάγκεςτου οργανισμού. 
Το ΠΙ πρέπει να διαθέτει τα κατάλληλα υπηρεσιακά όργα¬ 
να και διαδικασίες για τη χάραξη της στρατηγικής της Πλη¬ 
ροφορικής, την τήρηση και την περιοδική ενημέρωση της, 
ώστε να εναρμονίζεται διαρκώς με τους εκάστοτε επιχει¬ 
ρησιακούς στόχους και το εκάστοτε ισχύον θεσμικό πλαί¬ 
σιο. Η εγκεκριμένη στρατηγική της Πληροφορικής πρέπει 
να περιλαμβάνει τόσο βραχυπρόθεσμα (ετήσια) όσο και 
μέσο - μακροπρόθεσμα (τριετή) σχέδια. 
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2. να διαθέτει ειδική συντονιστική επιτροπή για την Πλη¬ 
ροφορική (Ι.Τ. δίθθπηρ ΟοιππιίΙΙθθ). Επικεφαλής της επι¬ 
τροπής συνιστάται να είναι μέλος της Διοίκησης με γνώση 
των θεμάτων πληροφορικής, και μέλη διευθυντικά στελέ¬ 
χη του οργανισμού. Ο ρόλος, τα καθήκοντα και η ελάχιστη 
σύνθεση της επιτροπής θα πρέπει να ορίζονται σε επίση¬ 
μο κανονισμό. Στα καθήκοντα της επιτροπής, μεταξύ άλ¬ 
λων περιλαμβάνονται η αξιολόγηση των βραχυπρόθε¬ 
σμων και μέσο - μακροπρόθεσμων σχεδίωντης Πληροφο¬ 
ρικής στα πλαίσια της επιχειρησιακής στρατηγικής, η 
αξιολόγηση της Ανάλυσης & Διαχείρισης των Κινδύνων 
που σχετίζονται μετά Πληροφοριακά Συστήματα, η αξιο¬ 
λόγηση και έγκριση μεγάλων προμηθειών υλικού και λογι¬ 
σμικού, η εποπτεία των μεγάλων έργων και του προϋπο¬ 
λογισμού της Πληροφορικής, ο καθορισμός προτεραιοτή¬ 
των, η αξιολόγηση πολιτικών, προτύπων και διαδικασιών, 
η έγκριση και εποπτεία των συνεργασιών με τρίτους (π.χ. 
θέματα ουΙεουΓοίηρ), κ.λπ. Η Επιτροπή, τέλος, θα πρέπει 
να λαμβάνει γνώση των πορισμάτων των ελέγχων που διε- 
νεργούνται στα Πληροφοριακά Συστήματα. 

3. στο πλαίσιο της αρμόδιας υπηρεσιακής μονάδας Δια¬ 
χείρισης Κινδύνων να αξιολογεί, κατηγοριοποιεί και δια¬ 
χειρίζεται τους κινδύνους που απορρέουν από την ανά¬ 
πτυξη, ενσωμάτωση και λειτουργία των Πληροφοριακών 
Συστημάτων. Οι κίνδυνοι αυτοί θα πρέπει να συνεκτιμού- 
νται με τους υπόλοιπους κινδύνους στους οποίους είναι 
εκτεθειμένο το ΠΙ. 

4. να διαθέτει καταγεγραμμένη και εγκεκριμένη από την 
Διοίκηση Πολιτική Ασφάλειας για τα Πληροφοριακά Συ¬ 
στήματα με τη μορφή αρχών - δεσμεύσεων, οι οποίες θα 
προδιαγράφουν τις κατευθύνσεις και τους στόχους του 
οργανισμού για την αποτελεσματική διαχείριση, προστα¬ 
σία και κατανομή των πληροφοριακών του πόρων. Η Πο¬ 
λιτική Ασφάλειας οφείλει, 

(ί) να παραπέμπει σε συγκεκριμένα πρότυπα και διαδι¬ 
κασίες δεσμεύοντας έτσι τις υπηρεσιακές μονάδες στην 
υλοποίηση και το προσωπικό στην τήρησή τους 

(ϋ) να προσφέρει ένα κανονιστικό πλαίσιο βάσει του 
οποίου διενεργούνται οι έλεγχοι και 

(ϋί) να προσαρμόζεται και ενημερώνεται βάσει θεσμο¬ 
θετημένων διαδικασιών. 

Το περιεχόμενο της Πολιτικής Ασφάλειας θα πρέπει να 
κοινοποιείται στο προσωπικό του ΠΙ και να υπάρχει από 
αυτό η έγγραφη αποδοχή του. Η ύπαρξη της Πολιτικής 
Ασφάλειας, οιστόχοιτης, σύνοψή της, και το περιεχόμενο 
συγκεκριμένων τμημάτων της - αν αυτό απαιτείται -, μπο¬ 
ρεί να γνωστοποιείται στο κοινό, έτσι ώστε να προάγεται 
το αίσθημα εμπιστοσύνης των πελατών απέναντι στο ΠΙ. 

5. να διαθέτει, πέραν της Πολιτικής Ασφάλειας, την κα¬ 
τάλληλη διοικητική δομή που θα εγγυάται τη ασφάλεια 
των επιχειρησιακών πληροφοριών. Στο πλαίσιο αυτής της 
δομής θα πρέπει τουλάχιστον να προβλέπεται θέση Υπεύ¬ 
θυνου Ασφάλειας ΠΣ, η αμεροληψία και η ανεξαρτησία 
του οποίου θα πρέπει να διασφαλίζονται μέσω της απευ¬ 
θείας αναφοράς του σε υψηλά κλιμάκια της ιεραρχίας. 

6. να μεριμνά ώστε οι υπάρχουσες πολιτικές, πρότυπα, 
διαδικασίες και μεθοδολογίες να είναι επίσημα καταγε- 
γραμμένες και εγκεκριμένες από τα αρμόδια υπηρεσιακά 
όργανα. 

7. να διαθέτει πρότυπα και μεθοδολογίες για το σχεδία¬ 
σμά και την ανάπτυξη των Πληροφοριακών Συστημάτων, 
καθώς και διαδικασίες για την καθημερινή τους λειτουρ¬ 
γία και υποστήριξη. 


8. να διαθέτει πρότυπα και διαδικασίες για τη διαχείρι¬ 
ση των έργων πληροφορικής. Στην πρόταση για την υλο¬ 
ποίηση κάθε μεγάλου έργου πληροφορικής πρέπει να 
προσδιορίζεται ο επιχειρησιακός στόχος, καθώς και τα 
ποιοτικά και ποσοτικά οφέλη που θα αποφέρει η υλοποί¬ 
ηση του. Η αποτελεσματική έκβαση ενός έργου διασφα¬ 
λίζεται με την ύπαρξη και τήρηση καταλλήλων μεθοδολο¬ 
γιών και πρακτικών που ακολουθούνται σε όλο τον κύκλο 
ζωής του. Σε αυτές περιλαμβάνονται, η μεθοδολογία και 
τα εργαλεία παρακολούθησης του έργου, ο συντονισμός 
των απαιτούμενων ενεργειών και πόρων, η τήρηση χρο¬ 
νοδιαγραμμάτων, η παρακολούθηση του κόστους, η συμ¬ 
μετοχή των στελεχών τόσο της Πληροφορικής όσο και 
των άλλων επιχειρησιακών μονάδων στις διάφορες φά¬ 
σεις υλοποίησης, η μεθοδολογία διαχείρισης αλλαγών, η 
εκπαίδευση του προσωπικού και Τέλος, η διασφάλιση της 
ποιότητας πρέπει να αποτελεί ανεξάρτητη διαδικασία 
στην οργάνωση και διαχείριση ενός έργου πληροφορι¬ 
κής. 

9. να εγγυάται την ποιότητα των παρεχόμενων υπηρε¬ 
σιών πληροφορικής μέσω της ύπαρξης διαδικασιών δια¬ 
σφάλισης ποιότητας και εναρμόνισης με τα πρότυπα ποι¬ 
ότητας που έχει θέσει το ΠΙ. Η ποιότητα πρέπει να δια¬ 
σφαλίζεται σε όλα τα στάδια του κύκλου ζωής των 
συστημάτων και να καλύπτει τα παραδοτέα, την τεκμη¬ 
ρίωση, την εκπαίδευση, τις προδιαγραφές, τις διαδικα¬ 
σίες, και τα σχέδια υλοποίησης ενός έργου. 

10. να διαθέτει τις κατάλληλες διαδικασίες για τον 
έγκαιρο εντοπισμό και την αποτελεσματική αντιμετώπιση 
των προβλημάτων που προκύπτουν στα Πληροφοριακά 
Συστήματα. 

11. να διαθέτει διαδικασίες καταγραφής και κατηγοριο- 
ποίησης των γεγονότων που δημιουργούν λειτουργικό 
κίνδυνο, συμπεριλαμβανομένων των ζημιών (άθίαίίθά 
θνθπί Ιγρθ Ι 0991 Π 9 3πά οΐαεείίίοαίίοπ) που προέρχονται 
από προβλήματα στα Πληροφοριακά Συστήματα (π.χ. μη 
εξουσιοδοτημένη δραστηριότητα, κλοπή μηχανογραφι¬ 
κού εξοπλισμού, απάτη, παραβίαση ασφάλειας, μη δια¬ 
θεσιμότητα συστημάτων, καταστροφή μηχανογραφικού 
εξοπλισμού, κακόβουλη χρήση, κ.α. και ενημέρωσης των 
αρμόδιων υπηρεσιακών μονάδων (Διαχείρισης Κινδύνων 
και Εσωτερικού Ελέγχου), για την αποτελεσματικότερη 
καταγραφή και αντιμετώπιση του λειτουργικού κινδύνου. 
Η καταγραφή θα πρέπει να είναι συστηματική με στόχο 
την δημιουργία ιστορικότητας και λεπτομερής έτσι ώστε 
να περιγράφει με σαφήνεια το γεγονός. Οι σχετικές πλη¬ 
ροφορίες θα πρέπει να καταγράφονται ηλεκτρονικά και 
να δομούνται με τέτοιο τρόπο ώστε να διευκολύνεται η 
αυτόματη παραγωγή αναφορών αλλά και η άμεση ενημέ¬ 
ρωση των εμπλεκόμενων υπηρεσιακών μονάδων. 

12. να διαθέτει Σύστημα Διοικητικής Πληροφόρησης 
(Μ.1.8. - Μ3Π39Θπΐθηΐ Ιηίοΐ'πιβΙίοη δγείΘπι) κατάλληλο για 
την αποτελεσματική πληροφόρηση της Διοίκησης του 
οργανισμού. Ένα τέτοιο σύστημα θα πρέπει να χαρακτη¬ 
ρίζεται από την ομοιόμορφη και βάσει καταγεγραμμένων 
διαδικασιών συλλογή και επεξεργασία, την έγκαιρη διά¬ 
θεση , την ακρίβεια, την αξιοπιστία, και την πληρότητα των 
πληροφοριών. Η συλλογή και επεξεργασία των απαραί¬ 
τητων πληροφοριών θα πρέπει να γίνεται όσο το δυνατόν 
πιο αυτοματοποιημένα. 

13. να γνωρίζει και να συμμορφώνεται μετο νομικό, επο¬ 
πτικό και κανονιστικό πλαίσιο σε ό,τι αφορά θέματα πλη¬ 
ροφορικής. 
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14. να μελετά, να αξιολογεί και να εφαρμόζει, όπου κρί¬ 
νει απαραίτητο, τα διεθνή πρότυπα και μεθοδολογίες δια¬ 
χείρισης και ασφάλειας των Πληροφοριακών Συστημά¬ 
των, καθώς επίσης να παρακολουθεί και να λαμβάνει υπό¬ 
ψη τις διεθνείς εξελίξεις στους συγκεκριμένους τομείς. 

Α2. Οργάνωση Υπηρεσιακής Μονάδας Πληροφορικής 

Το Πιστωτικό Ίδρυμα θα πρέπει να διαθέτει εξειδικευ- 
μένη Υπηρεσιακή Μονάδα Πληροφορικής, λειτουργικά 
και διοικητικά ανεξάρτητη από τους τελικούς χρήστες 
των υπηρεσιών πληροφορικής η οποία θα πρέπει: 

1. να διαθέτει οργανόγραμμα στο οποίο: 

• απεικονίζονται οι επιχειρησιακές και οργανωτικές 
ανάγκες της μονάδας και περιγράφονται με σαφήνεια οι 
αρμοδιότητες των επί μέρους υπηρεσιακών μονάδων που 
το αποτελούν 

• απεικονίζεται ο διαχωρισμός των καθηκόντων προ- 
κειμένου να αποκλείεται η ύπαρξη ασυμβίβαστων ρόλων, 
να παρέχεται η δυνατότητα καταλογισμού των ευθυνών 
και να αξιοποιούνται με τον καταλληλότερο τρόπο οι δυ- 
νατότητεςτου προσωπικού. Ειδικότερα, θα πρέπει να δια¬ 
σφαλίζεται ότι διαχωρίζονται πλήρως οι λειτουργίες που 
σχετίζονται με τον σχεδίασμά και την ανάπτυξη των συ¬ 
στημάτων από τις λειτουργίες που αφορούν στην καθη¬ 
μερινή λειτουργία τους 

• προβλέπεται, ανάλογα με το μέγεθος του ΠΙ και την 
πολυπλοκότητα των συστημάτων, υπηρεσιακή μονάδα 
Ασφάλειας των ΠΣ. Η συγκεκριμένη υπηρεσιακή μονάδα, 
μαζί με τον Υπεύθυνο Ασφάλειας των ΠΣ, πρέπει να δια¬ 
μορφώνουν ολοκληρωμένη εικόνα για το επίπεδο ασφά¬ 
λειας των συστημάτων και τους κινδύνους που απορρέ¬ 
ουν από την ανάπτυξη, ενσωμάτωση και λειτουργία τους. 
Στις αρμοδιότητες τους περιλαμβάνονται, μεταξύ άλλων, 
η συμμετοχή στην αξιολόγηση και διαχείριση των κινδύ¬ 
νων των ΠΣ, η σύνταξη και ενημέρωση της πολιτικής 
ασφάλειας, η συμμετοχή στη διαδικασία εύρεσης λύσεων 
για την κάλυψη κενών ασφάλειας και την αντιμετώπιση 
έκτακτων περιστατικών κ.α. 

• εξασφαλίζεται η αναπλήρωση του προσωπικού του¬ 
λάχιστον στις κρίσιμες μηχανογραφικές λειτουργίες 

2. να διαθέτει καταγεγραμμένες και επίσημα εγκεκριμέ¬ 
νες περιγραφές θέσεων εργασίας στις οποίες θα περι¬ 
λαμβάνονται οι αρμοδιότητες, οι υπευθυνότητες και οι 
δεξιότητες που απαιτούνται για κάθε θέση. 

Α3. Σχέσεις με Εξωτερικούς Συνεργάτες 

Όταν το ΠΙ συνεργάζεται με εξωτερικούς συνεργάτες 
σε θέματα πληροφορικής (Πάροχοι Υπηρεσιών Πληρο¬ 
φορικής- Π.Υ.Π., προμηθευτές, κ.λπ.), θα πρέπει να λαμ¬ 
βάνει υπόψη του ότι: 

1. η χρήση εξωτερικών συνεργατών, ενώ μπορεί να επι¬ 
λύει σημαντικά προβλήματα, δημιουργεί πεδίο πρόσθε¬ 
των κινδύνων για το ΠΙ, οι οποίοι πρέπει να εντοπισθούν, 
εκτιμηθούν και αντιμετωπισθούν αποτελεσματικά. Στους 
κινδύνους αυτούς περιλαμβάνονται: 

• η έλλειψη ουσιαστικού ελέγχου στις προσφερόμενες 
υπηρεσίες 

• η εξάρτηση από τρίτους 

• η απώλεια εσωτερικής τεχνογνωσίας 

• η ενδεχόμενη αδυναμία άμεσης προσαρμογής στις 
απαιτήσεις των πελατών και του οικονομικού περιβάλλοντος 

• η αδιαφανής κοστολόγηση των προσφερόμενων υπη¬ 
ρεσιών 

• η αντίδραση του προσωπικού που θίγεται από την 
χρήση υπηρεσιών εξωτερικών συνεργατών 


• η διαφορά νοοτροπίας μεταξύ ΠΙ καιπαρόχου, κ.λπ. 

2. σε περίπτωση που αποφασίσει να αναθέσει μέρος ή 
και το σύνολο των υπηρεσιών πληροφορικής σε εξωτερι¬ 
κούς συνεργάτες, πρέπει να υφίστανται κατάλληλες δια¬ 
δικασίες για: 

• την αξιολόγηση των κινδύνων που απορρέουν από μια 
πιθανή συνεργασία 

• τον τρόπο επιλογής των εξωτερικών συνεργατών 

• την επάρκεια των προς υπογραφή συμβολαίων 

• την εποπτεία και τον έλεγχο της επαρκούς και ασφα¬ 
λούς λειτουργίας των συστημάτων 

3. η ανάθεση υλοποίησης σημαντικών για το ΠΙ συστη¬ 
μάτων σε τρίτους, θα πρέπει να αιτιολογείται από την Ειδι¬ 
κή Συντονιστική Επιτροπή Πληροφορικής εγγράφωςπρος 
τη Διοίκηση ο οποία και παρέχει την τελική έγκριση της. 

4. κατά το στάδιο της επιλογής του εξωτερικού συνερ¬ 
γάτη, πέραν της αξιολόγησης των Προσφερομένων υπη¬ 
ρεσιών θα πρέπει να αξιολογούνται, με βάση το μέγεθος 
και την κρισιμότητα της συνεργασίας: 

• η οικονομική κατάσταση και η μακροπρόθεσμη βιωσι¬ 
μότητα του 

• η επίδραση του προς υπογραφή συμβολαίου στον κύ¬ 
κλο εργασιών του 

• η φήμη του στην αγορά, το πελατολόγιο και ο βαθμός 
ικανοποίησης των πελατών του 

• η οργανωτική του δομή (για την παροχή και αποτελε¬ 
σματική υποστήριξη των υπηρεσιών) 

• η αριθμητική και ποιοτική επάρκεια του στελεχικού 
δυναμικού 

• η ασφαλιστική του κάλυψη, κ.λπ. 

Στις περιπτώσεις που ο εξωτερικός συνεργάτης κάνει 
χρήση συνεργιών για την υλοποίηση των έργων θα πρέπει 
να αξιολογηθούν ανάλογα και οι συνέργιες αυτές. 

5. από τεχνικής άποψης θα πρέπει να αξιολογούνται: 

• η ποιότητα και επάρκεια της υπάρχουσας Πολιτικής 
Ασφάλειας του παρόχου 

• η αξιοπιστία των συστημάτων 

• η καταλληλότητα της τεχνολογίας που χρησιμοποιεί¬ 
ται 

• η πληρότητα των διαδικασιών υποστήριξης των πα- 
ρεχομένων υπηρεσιών 

• τα σχέδια συνέχειας εργασιών και ανάκαμψης από 
καταστροφή του παρόχου 

Πορίσματα εσωτερικών και εξωτερικών ελεγκτών για 
τον εξωτερικό συνεργάτη - εάν είναι διαθέσιμα - αποτε¬ 
λούν πολύτιμες πηγές πληροφόρησης για τη διαμόρφω¬ 
ση πληρέστερης εικόνας. 

6. στο προς υπογραφή συμβόλαιο θα πρέπει - μεταξύ 
άλλων - να περιγράφονται αναλυτικά και με σαφήνεια: 

• τα δικαιώματα και οι υποχρεώσεις των συμβαλλομέ- 
νων μερών 

• το συμφωνηθέν επίπεδο παροχής υπηρεσιών (3θγ- 
νίοθ Ι_θνθΙ ΑρΓθθηΊθηΐ - 3Ι_Α) και ο τρόπος τιμολόγησης 
τους 

• η δυνατότητα επαναδιαπραγμάτευσης του συμβο¬ 
λαίου 

• τα θέματα ιδιοκτησίας (οννηθί'εΐιίρ), αδειοδότησης (Ιί- 
οθπείηρ) και πνευματικών δικαιωμάτων 

• οι περιπτώσεις υπεργολαβίας (ευό-οοηΐΐΉΟΙίη^ 

• οι διαδικασίες επίλυσης διαφορών 

• οι διαδικασίες τερματισμού του συμβολαίου (π.χ. οι 
διαδικασίες παράδοσης του πηγαίου κώδικα και των δε- 
δομένωντους - ΕεοΓονν Αρτθθπίθηί) 
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Ειδική αναφορά θα πρέπει επίσης να γίνεται: 

• στην ασφάλεια (εμπιστευτικότητα, ακεραιότητα, δια¬ 
θεσιμότητα και δυνατότητα ανίχνευσης) των πληροφοριών 

• στην πιστοποίηση των συναλλασσόμενων μερών και 
στη μη αποποίηση των συναλλαγών 

• στην ασφάλεια των διασυνδέσεων μεταξύ του ΠΙ και 
του εξωτερικού συνεργάτη 

• στις ποινικές ρήτρες για τις περιπτώσεις παραβίασης 
των συμφωνηθέντων 

• στη δυνατότητα διενέργειας ελέγχων εκ μέρους του 
ΠΙ (ΠίρΙιίΙο ΑυόίΙ) 

• στη δυνατότητα διενέργειας ελέγχων από τρίτους για 
λογαριασμό του ΠΙ 

• στο είδος και τη συχνότητα των αναφορών ή αρχείων 
που θα ανταλλάσσουν τα δύο μέρη 

• στα σχέδια συνέχειας εργασιών και ανάκαμψης από 
καταστροφή του εξωτερικού συνεργάτη 

Β. ΑΝΑΠΤΥΞΗ ΚΑΙ ΠΡΟΜΗΘΕΙΑ ΣΥΣΤΗΜΑΤΩΝ 

Ο κύκλος ζωής ενός συστήματος πρέπει να χαρακτηρί¬ 
ζεται από διακριτές φάσεις οι οποίες θα υλοποιούν πρό¬ 
τυπα, μεθοδολογίες και διαδικασίες επίσημα καταγε- 
γραμμένες και εγκεκριμένες. Τέτοιες φάσεις, συνήθως, 
είναι η φάση της Μελέτης Σκοπιμότητας, της Ανάλυσης 
των Επιχειρησιακών Απαιτήσεων και του Καθορισμού των 
Προδιαγραφών, της Τεχνικής Ανάλυσης και του Σχεδια- 
σμού, της Ανάπτυξης, των Δοκιμών, της Αποδοχής καιτης 
Μεταφοράς στην Παραγωγή, της Λειτουργίας και Υπο¬ 
στήριξης και τέλος της Απόσυρσης. Η μετάβαση από τη 
μία φάση στην άλλη προϋποθέτει την ανασκόπηση και 
έγκριση των αποτελεσμάτων της προηγούμενης. 

Η εποπτεία του έργου της ανάπτυξης κάθε σημαντικού 
συστήματος πρέπει να ανατίθεται στη συντονιστική επι¬ 
τροπή της Πληροφορικής (ΙΤ δίθθπηρ ΘοπηπιΙΙΙθθ). Μετην 
ολοκλήρωση της ανάπτυξης του συστήματος, η επιχειρη¬ 
σιακή και τεχνική του εποπτεία θα πρέπει να ανατίθεται 
στις αρμόδιες υπηρεσιακές μονάδες ή στελέχη. 

Πριν την ανάπτυξη ή προμήθεια ενός σημαντικού συ¬ 
στήματος πρέπει να γίνεται Μελέτη Σκοπιμότητας. Στη 
φάση αυτή θα πρέπει μεταξύ άλλων να ορίζονται οι λει¬ 
τουργίες που θα καλύπτονται από το νέο σύστημα, να 
εκτιμάται η σχέση κόστους/οφέλους (μείωση στα τρέχο¬ 
ντα κόστη, αύξηση απόδοσης, βελτίωση της εικόνας του 
ΠΙ) που θα επιφέρει το νέο σύστημα, και να εξετάζεται η 
δυνατότητα υλοποίησης του συστήματος τόσο από την 
πλευρά του ανθρώπινου δυναμικού όσο και από αυτή του 
μηχανογραφικού εξοπλισμού / λογισμικού. Τέλος, θα 
πρέπει να εκτιμάται το κόστος ανάπτυξης, λειτουργίας, 
και υποστήριξης του συστήματος και να συγκρίνεται το 
κόστος εσωτερικής ανάπτυξης με αυτό της προμήθειας ή 
της ανάθεσης σε τρίτους. 

Β1. Ανάπτυξη Συστημάτων 

Στις περιπτώσεις που το ΠΙ επιλέγει την εσωτερική ανά¬ 
πτυξη ενός Πληροφοριακού Συστήματος, θα πρέπει: 

1. πριν την έναρξη της ανάπτυξης, να ορισθεί Ομάδα 
Έργου που θα αναλάβειτην διαχείριση του έργου και την 
κατάρτιση ενός χρονοδιαγράμματος υλοποίησης. Η Ομά¬ 
δα Έργου ανάλογα μετην κρισιμότητα και το μέγεθος του 
συστήματος θα πρέπει να απαρτίζεται από τον επικεφαλή 
της, τον υπεύθυνο για την ασφάλεια του συστήματος, 
αναλυτές / προγραμματιστές και εκπροσώπους χρηστών 
ή άλλων εμπλεκόμενων μερών. 

2. το χρονοδιάγραμμα υλοποίησης να προσδιορίζει, με¬ 
ταξύ άλλων, τις φάσεις, τη διάρκεια τους, και τους υπεύ¬ 


θυνους για την υλοποίηση της κάθε φάσης καθώς και τα 
παραδοτέα. Επιπλέον στο χρονοδιάγραμμα θα πρέπει να 
προβλέπεται ο ακριβής χρόνος παράδοσης μηχανογρα¬ 
φικού εξοπλισμού και άλλων υπηρεσιών από προμηθευ¬ 
τές εφόσον επηρεάζει τον χρονοπρογραμματισμό του 
έργου. 

3. να ορίζεται ένα σχέδιο επικοινωνίας στο οποίο θα κα¬ 
θορίζονται οι διαδικασίες ενημέρωσης των εμπλεκομέ- 
νων μερών για την πρόοδο του έργου, επικοινωνίας των 
θεμάτων προς επίλυση προς τα ανώτερα στελέχη, επικοι¬ 
νωνίας του Πιστωτικού Ιδρύματος με προμηθευτές, και 
κοινοποίησης των αλλαγών που θα επιφέρει το νέο σύ¬ 
στημα στον οργανισμό. 

4. να λαμβάνονται υπόψη θέματα αποδοχής και αποτε¬ 
λεσματικής λειτουργίας του νέου πληροφοριακού συ¬ 
στήματος από το προσωπικό του Πιστωτικού Ιδρύματος 
και να υιοθετείται σχέδιο διαχείρισης των λειτουργικών 
αλλαγών ώστε να αντιμετωπιστούν φαινόμενα αρνητικής 
στάσης των χρηστών και μη αποτελεσματικής εξυπηρέ¬ 
τησης των πελατών λόγω έλλειψης εξοικείωσης με το νέο 
πληροφοριακό σύστημα. 

5. οι πληροφορίες που συλλέγονται κατά την διάρκεια 
της φάσης της Ανάλυσης των Επιχειρησιακών Απαιτήσε¬ 
ων και του Καθορισμού των Προδιαγραφών, να αφορούν 
τα προβλήματα, τις απαιτήσεις και τις ανάγκες βελτίωσης 
που έχουν εντοπίσει οι χρήστες σχετικά με το σύστη μα. Οι 
απαιτήσεις θα πρέπει να καθορίζουν το τι πρέπει να κάνει 
το σύστημα και όχι το πώς, ενώ οι προδιαγραφές θα πρέ¬ 
πει να προσδιορίζουν σε γενικές γραμμές το πώς θα μπο¬ 
ρέσουν να υλοποιηθούν οι απαιτήσεις των χρηστών. Κα¬ 
τά τη φάση του καθορισμού τωνπροδιαγραφώντου νέου 
συστήματος θα πρέπει να εξεταστεί κατά πόσο αυτό θα 
πρέπει να συνεργάζεται και σε ποιο επίπεδο με τα υπάρ¬ 
χοντα συστήματα του ΠΙ 

6. να γίνεται εκτίμηση του όγκου των δεδομένων και του 
αριθμού των συναλλαγών που θα διαχειρίζεται το νέο σύ¬ 
στημα, λαμβάνοντας υπόψη τις τρέχουσες αλλά και τις 
μελλοντικές ανάγκες έτσι ώστε να προσδιοριστούν με 
μεγαλύτερη ακρίβεια οι προδιαγραφές του μηχανογρα¬ 
φικού εξοπλισμού του συστήματος. 

7. να γίνει λεπτομερής σχεδιασμός για την διαχείριση 
των δεδομένων του προϋπάρχοντος μηχανογραφικού ή 
μη συστήματος και να περιλαμβάνει θέματα εκκαθάρισης 
παλαιών δεδομένων (0313 οίθαηείηρ), μετατροπής δεδο¬ 
μένων στην μορφή του νέου συστήματος (άαία οοηνθΓ- 
είοπ) και μετάπτωσης δεδομένων (0313 πιίρΓαΙίοπ). 

8. στις φάσεις της Τεχνικής Ανάλυσης και του Σχεδια- 
σμού να διενεργείται Ανάλυση Κινδύνων και να καθορίζο¬ 
νται με λεπτομέρεια οι απαιτήσεις ασφαλούς λειτουργίας 
του συστήματος σύμφωνα και με όσα προβλέπει η ισχύ- 
ουσα Πολιτική Ασφάλειας του ΠΙ, οι τεχνικές προδιαγρα¬ 
φές του (οι οποίες περιλαμβάνουν - μεταξύ άλλων - τον 
καθορισμό των παραμέτρων της λογικής ασφάλειας του 
συστήματος), ο έλεγχος και η συμφωνία των δεδομένων 
και η δομή των απαραίτητων αρχείων καταγραφής (αυάίΐ 
ΐΓαίΙε και Ιορε) για τα οποία θα πρέπει να λαμβάνονται υπό¬ 
ψη οι σχετικές συστάσεις της Ευρωπαϊκής Επιτροπής για 
τα Τραπεζικά Πρότυπα («ΤΙίθ Ψεθ οί ΑυάίΙΤί'ΒίΙδ ίη ΒθουπΙγ 
δγείθπΐδ: ΟυίάβΙίπθ5ίθΓΕυΓορθ3η ΒβπΙο»). 

Στις συγκεκριμένες φάσεις είναι αναγκαία η συνεργα¬ 
σία με τον Εσωτερικό Έλεγχο για τη διαμόρφωση των κα¬ 
τάλληλων δικλείδων ασφαλείας, καθώς και των ελεγκτι¬ 
κών αρχείων καταγραφής και αναφορών που θα παράγο- 
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νται για τη διευκόλυνση του ελέγχου. Η συνεργασία αυτή 
δεν επηρεάζει το ελεγκτικό έργο του Εσωτερικού Ελέγ¬ 
χου για το εν λόγω σύστημα. 

9. η Ανάπτυξη του Συστήματος να υλοποιείται σε ξεχω¬ 
ριστό μηχανογραφικό περιβάλλον από αυτό της παραγω¬ 
γής και να ακολουθεί πρότυπα που έχουν τεθεί από το ΠΙ 
(π.χ. χρήση συγκεκριμένων εργαλείων και μεθοδολογίας 
ανάπτυξης προγραμμάτων) με στόχο την ομοιογένεια 
των Πληροφοριακών Συστημάτων και την ευκολία υπο¬ 
στήριξης τους. 

10. οι Δοκιμές του Συστήματος να διενεργούνται σε 
πρώτη φάση από το προσωπικό της Πληροφορικής σε ξε¬ 
χωριστό περιβάλλον με προκαθορισμένα σενάρια. Σε 
δεύτερη φάση θα πρέπει να γίνονται τεκμηριωμένες και 
ολοκληρωμένες δοκιμές που περιλαμβάνουν: 

• δοκιμές επαναφοράς (ΓβοονβΓγ ΙθεΙίηρ) ελέγχοντας 
την δυνατότητα επαναφοράς του συστήματος σε περι¬ 
πτώσεις βλάβης του λογισμικού ή του μηχανογραφικού 
εξοπλισμού 

• δοκιμές ασφαλείας (εθουπίγίθεΐίηςι) ελέγχοντας ότι το 
σύστημα περιλαμβάνει τις δικλείδες ασφαλείας όπως αυ¬ 
τές προδιαγράφηκαν κατά τον σχεδίασμά του συστήματος 

• δοκιμή αντοχής (εΐΓβεε ίβεί) του συστήματος σε συν¬ 
θήκες επεξεργασίας αυξημένου όγκου δεδομένων 

Στις δοκιμές αυτές είναι απαραίτητο να συμμετέχουν, 
πέραν των προγραμματιστών, η μονάδα Διασφάλισης 
Ποιότητας (όπου υπάρχει), ο Υπεύθυνος Ασφάλειας (5θ- 
ουπίγ ΟίίίοθΓ) και η μονάδα του Εσωτερικού Ελέγχου. 

11. για την Αποδοχή του Συστήματος να διενεργούνται 
ολοκληρωμένες δοκιμές με όσο το δυνατόν πιο πιστή 
προσομοίωση των συνθηκών παραγωγής. Στην περίπτω¬ 
ση που νέο σύστημα αντικαθιστά παλαιότερο, θα πρέπει 
τα δύο συστήματα για ένα χρονικό διάστημα να λειτουρ¬ 
γήσουν παράλληλα με τα ίδια δεδομένα (ρ3Γ3ΐΙβΙ τυπ) και 
να γίνεται σύγκριση των αποτελεσμάτων τους. Οι συμμε- 
τέχοντες θα πρέπει να αποφασίζουν για την αποδοχή ή μη 
του συστήματος και γνωστοποιούν εγγράφως την από¬ 
φαση τους. 

12. η Μεταφορά του νέου Συστήματος στην παραγωγή 
να πραγματοποιείται από εξειδικευμένο προσωπικό (π.χ. 
ΙίόΓαΓίαηε) βάσει καταγεγραμμένων οδηγιών, σε χρονική 
περίοδο που δεν εκτελούνται άλλες σημαντικές εργα¬ 
σίες, και με τη πρόβλεψη για τη δυνατότητα - σε περίπτω¬ 
ση προβλήματος - επαναφοράς στην αρχική κατάσταση. 

13. το σύστημα, πριν ακόμη τεθεί σε λειτουργία, να δια¬ 
θέτει πλήρη τεκμηρίωση που θα ακολουθεί συγκεκριμένα 
ποιοτικά πρότυπα που έχουν τεθεί από το ίδιο το ΠI Τα εγ¬ 
χειρίδια της τεκμηρίωσης θα πρέπει να έχουν ενιαία μορ¬ 
φή και δομή. 

14. να πραγματοποιείται εκπαίδευση των χρηστών του 
συστήματος σε ξεχωριστό μηχανογραφικό περιβάλλον 
το οποίο και δεν θα επηρεάζεται από τα μηχανογραφικά 
περιβάλλοντα ανάπτυξης και παραγωγής. Τα συγκεκρι¬ 
μένα περιβάλλοντα συνιστάται να παραμένουν ενεργά 
έτσι ώστε να χρησιμοποιούνται στις περιπτώσεις που το 
σύστημα υφίσταται αλλαγές. 

15. η Λειτουργία και Υποστήριξη του Συστήματος να πε¬ 
ριλαμβάνει διαδικασίες ελέγχου των αλλαγών (οάβηρθ 
οοπΙγοΙ), ελέγχου των εκδόσεων του συστήματος (νθΓ- 
είοπίπρ), ελέγχου ενημερώσεων του συστήματος για την 
αντιμετώπιση προβλημάτων που εντοπίστηκαν (ραίοά- 
ίηρ), ελέγχου της απόδοσης του συστήματος, λήψης και 
φύλαξης εφεδρικών αρχείων, συνέχειας των εργασιών, 


ενημέρωσης του ΗθΙρ ϋθ3ΐ< για την υποστήριξη των χρη¬ 
στών του συστήματος, κ.α. 

16. η φάση Απόσυρσης του Συστήματος να περιλαμβά¬ 
νει διαδικασίες για τη διατήρηση των πληροφοριών σύμ¬ 
φωνα με τις νομικές και εποπτικές οδηγίες (ίηίοι·πΐ3ΐίοη 
ρΓθ5θΓν3ΐϊοη), τη διαγραφή των πληροφοριών από τα μέ¬ 
σα αποθήκευσης (πΐθάί3 53ηίΙίζ3ΐίοη), την απόσυρση του 
υλικού και λογισμικού (Ιΐ3Γάνν3Γθ & εοίΙννΒΓθ άίεροεβΙ). 
Στη συγκεκριμένη φάση πρέπει να διασφαλίζεται η απο¬ 
τελεσματική συνέχεια της λειτουργίας των συστημάτων 
που διασυνδέονται με το σύστημα που αποσύρεται. 

Β2. Προμήθεια Συστημάτων 

Στις περιπτώσεις που το ΠΙ αποφασίζει την προμήθεια 
Πληροφοριακών Συστημάτων, θα πρέπει, εκτός των προ- 
αναφερθέντων: 

1. η όλη διαδικασία προμήθειας να χαρακτηρίζεται από 
διακριτές φάσεις οι οποίες θα υλοποιούν πρότυπα, μεθο¬ 
δολογίες και διαδικασίες επίσημα καταγεγραμμένες και 
εγκεκριμένες. Τέτοιες φάσεις, είναι αυτές της πρόσκλη¬ 
σης για υποβολή προτάσεων (ΡΘρυβεΙ Ρογ ΡΓοροεβΙ - 
ΒΡΡ) με αναλυτική περιγραφή των αναγκών που θα καλύ¬ 
πτει το προς προμήθεια σύστημα, της επιλογής του εξω¬ 
τερικού συνεργάτη, της σύναψης της συμφωνίας και της 
υπογραφήςτου συμβολαίου, της ένταξης και λειτουργίας 
των συστημάτων στην παραγωγή, και τέλος της επο- 
πτείας και του ελέγχου τους. 

2. η επιλογή του συστήματος να γίνεται με βάση τις ανα¬ 
λυτικές προδιαγραφές που οφείλει να θέτει το ΠΙ, τις δυ¬ 
νατότητες επέκτασης καιπροσαρμογήςτου στις διαρκώς 
αυξανόμενες επιχειρησιακές ανάγκες, τη φιλικότητα 
προς τον χρήστη, τις δυνατότητες ασφαλούς λειτουρ¬ 
γίας (λογική ασφάλεια, 3υάίΙΐΓ3ίΙδ & Ιορε), το επίπεδο υπο¬ 
στήριξης, το σύστημα αναφορών του, κ.α. 

3. το είδος παρέμβασης του ΠΙ στο σύστημα να είναι εκ 
των προτέρων αυστηρά καθορισμένο. Οι όποιες παρεμ¬ 
βάσεις θα πρέπει να ακολουθούν εγκεκριμένες και κατα- 
γεγραμμένες διαδικασίες, να υλοποιούνται από εξειδι- 
κευμένο προσωπικό και να διατηρούνται στο ελάχιστο 
δυνατό επίπεδο έτσι ώστε να μην αλλοιώνεται η φυσιο¬ 
γνωμία του συστήματος και να είναι εύκολη η αναβάθμιση 
και συντήρηση του. Ας σημειωθεί ότι, σε περίπτωση ση¬ 
μαντικής απόκλισης των λειτου ργικών διαδικασιώντου ΠI 
από εκείνες που υποστηρίζει το αγορασθέν σύστημα, το 
ΠΙ είναι αυτό που συνήθως θα πρέπει να προσαρμόσει τις 
λειτουργικέςτου διαδικασίες σταχαρακτηριστικάτου συ¬ 
στήματος και όχι το αντίστροφο. 

4. στα κεντρικά συστήματα τραπεζικών εργασιών, η 
ανάγκη για ανάπτυξη περιφερειακών εφαρμογών που θα 
αντλούν πληροφορίες από το κεντρικό σύστημα και θα 
υλοποιούν τοπικές αλλά και επιχειρησιακές ιδιαιτερότη¬ 
τες να γίνεται με βάση τα ισχύοντα στο ΠΙ πρότυπα για την 
ανάπτυξη εφαρμογών, έτσι ώστε να διατηρείται η μηχα¬ 
νογραφική ομοιογένεια. 

5. ο τρόπος υποστήριξης των συστημάτων να είναι αυ¬ 
στηρά προδιαγεγραμμένος, με σαφή καθορισμό των περι¬ 
πτώσεων στις οποίες απαιτείται υποστήριξη από τον πάρο- 
χο αλλά και των χρονικών περιθωρίων ανταπόκρισης του. 

6. οι περιπτώσεις απομεμακρυσμένης πρόσβασης του 
παρόχου στα συστήματα του ΠΙ για την επίλυση εκτάκτων 
προβλημάτων, να είναι εξαιρετικά περιορισμένες, να αντι¬ 
μετωπίζονται με ιδιαίτερη προσοχή, και σε κάθε περίπτω¬ 
ση να υπάρχει πλήρης καταγραφή (Ιορρίπρ) των ενερ¬ 
γειών του. 
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7. να είναι απαραίτητη η απόκτηση τεχνογνωσίας, όχι 
μόνον μέσω της κατάλληλης εκπαίδευσης του εμπλεκό¬ 
μενου στη λειτουργία τέτοιων συστημάτων προσωπικού, 
αλλά κυρίως μέσω της συμμετοχής του σε όλες τις φά¬ 
σεις εξέλιξης των συστημάτων, έτσι ώστε η εξάρτηση του 
ΠΙ από τον προμηθευτή βαθμιαία να ελαττώνεται. 

8. εφόσον έχουν υλοποιηθεί οι απαιτήσεις του Πιστωτι¬ 
κού Ιδρύματος - όπως αυτές αναφέρονται στο συμβόλαιο 
- και μετά το πέρας των απαραίτητων δοκιμών εκ μέρους 
του παρόχου, να υφίσταται διαδικασία επίσημης αποδο¬ 
χής και παραλαβής του συστήματος εκ μέρους του ΠΙ με 
την συμμετοχή όλων των εμπλεκομένων μερών. 

Γ. ΛΕΙΤΟΥΡΓΙΑ ΚΑΙ ΥΠΟΣΤΗΡΙΞΗ 

Η απρόσκοπτη λειτουργία των Πληροφοριακών Συστη¬ 
μάτων και η αποτελεσματική υποστήριξη τους είναι πα¬ 
ράγοντες κρίσιμοι τόσο για την εύρυθμη λειτουργία του 
ΠΙ και τη δημιουργία σχέσεων εμπιστοσύνης με τους πε¬ 
λάτες, όσο και για την αποτελεσματική αντιμετώπιση του 
λειτουργικού κινδύνου. Η απρόσκοπτη λειτουργία και η 
αποτελεσματική υποστήριξη των Πληροφοριακών Συ¬ 
στημάτων προϋποθέτουντηντήρηση των πολιτικών, προ¬ 
τύπων και διαδικασιών του ΠΙ από όλες τις εμπλεκόμενες 
υπηρεσιακές μονάδες, αλλά και τους παρόχους υπηρε¬ 
σιών πληροφορικής. 

Γ1. Λειτουργία Συστημάτων 

Ο όρος «Λειτουργία Συστημάτων» αναφέρεται στο σύ¬ 
νολο των διαδικασιών που απαιτούνται για την καθημερι¬ 
νή λειτουργία των Πληροφοριακών Συστημάτων σε ένα 
Πιστωτικό Ίδρυμα. Για ένα αποδεκτό επίπεδο ασφαλούς 
και αποτελεσματικής λειτουργίας τους θα πρέπει να υφί- 
στανται: 

1. πλήρης και λεπτομερής καταγραφή του μηχανογρα¬ 
φικού εξοπλισμού (κεντρικά συστήματα, εξυπηρετητές, 
προσωπικοί υπολογιστές, περιφερειακά, δίκτυα και τηλε¬ 
πικοινωνίες), του αρχιτεκτονικού σχεδιασμού, του χρησι¬ 
μοποιούμενου λογισμικού, καθώς και του ιστορικού των 
εκδόσεων, των ενημερώσεων, και των αδειών χρήσης. 
Αρχείο πρέπει να τηρείται επίσης για τα μέσα που απο¬ 
θηκεύουν και διακινούν ευαίσθητα δεδομένατου οργανι¬ 
σμού (οαιΐΝάρεε, ταινίες, δισκέτες, Οϋε, εκτυπώσεις, γπϊ- 
ΟΓοίίοάθ κα). Τα αρχεία καταγραφής θα πρέπει να ενημε¬ 
ρώνονται άμεσα στις περιπτώσεις αλλαγών. 

2. τήρηση πλήρους και ενημερωμένης τεκμηρίωσης για 
κάθε σύστημα με τα επίσημα εγχειρίδια των εταιρειών 
που προμηθεύουν το υλικό και το λογισμικό των συστη¬ 
μάτων, και τα εγχειρίδια που συντάσσονται από το προ¬ 
σωπικό του ΠΙ. 

3. επαρκής συντήρηση και τεχνική υποστήριξη των συ¬ 
στημάτων με βάση πάντοτε τις προδιαγραφές τους καιτις 
ανάγκες που προκύπτουν. 

4. υποστήριξη των υπαλλήλων-χρηστών εντός, αλλά και 
των πελατών - χρηστών εκτός του οργανισμού (π.χ. ηλε¬ 
κτρονική τραπεζική), η οποία και θα πρέπει να ανατίθεται 
σε κατάλληλα οργανωμένες και στελεχωμένες υπηρεσια¬ 
κές μονάδες (ΗθΙρ ϋθ5ΐ<). Στην υποστήριξη θα πρέπει να 
λαμβάνεται υπόψη το είδος του χρήστη και η φύση του 
προβλήματος που αντιμετωπίζει. Το πλήθος και το είδος 
των προβλημάτων θα πρέπει να καταγράφονται και να 
τυγχάνουν στατιστικής επεξεργασίας. 

5. διαδικασίες διαχείρισης των παραμέτρων λειτουρ¬ 
γίας των συστημάτων. 

6. διαδικασίες αποτροπής εγκατάστασης και χρήσης μη 
νόμιμου, χωρίς την κατάλληλη αδειοδότηση, λογισμικού. 


7. προγραμματισμός των εργασιών προς εκτέλεση, κα¬ 
ταγραφή των προβλημάτων που προκύπτουν και των 
ενεργειών που πρέπει να γίνονται στις έκτακτες περιπτώ¬ 
σεις, κ.λπ. Η επιτυχής ή μη εκτέλεση των προγραμματι¬ 
σμένων αλλά και έκτακτων εργασιών θα πρέπει να κατα- 
χωρείται σε ειδικό ημερολόγιο, το οποίο και θα φέρει τις 
υπογραφές του προσωπικού που τις εκτέλεσε. Η εκτέλε¬ 
ση έκτακτων εργασιών θα πρέπει να γίνεται κατόπιν ειδι¬ 
κής έγκρισης. 

8. έλεγχος των δεδομένων, για εξασφάλιση της ακεραι¬ 
ότητας, ορθότητας και εμπιστευτικότητας τους, σε όλες 
τις φάσεις επεξεργασίας τους. Οι κάθε είδους ασυμφω¬ 
νίες θα πρέπει να διαπιστώνονται και να αντιμετωπίζονται 
βάσει καταγεγραμμένων διαδικασιών. 

9. διαδικασίες διαχείρισης της χωρητικότητας, του 
φόρτου και της απόδοσης των συστημάτων και δικτύων. 

10. συνεχής παρακολούθηση της διαθεσιμότητας των 
συστημάτων και των δικτύων. Ειδικότερα για τα κρίσιμα 
συστήματα, το ΠΙ πρέπει να είναι σε θέση να υπολογίζειτο 
ποσοστό διαθεσιμότητας τους σε επίπεδο έτους και να 
το συγκρίνει με προκαθορισμένους στόχους. Επιπλέον, 
το ΠΙ θα πρέπει να διαθέτει διαδικασίες λεπτομερούς κα¬ 
ταγραφής των συμβάντων μη διαθεσιμότητας (επηρεα¬ 
ζόμενα συστήματα, χρονική διάρκεια μη διαθεσιμότητας, 
αιτία προβλήματος, τρόπος και χρονική διάρκεια αντιμε¬ 
τώπισης, συχνότητα εμφάνισης, κόστος για το ΠΙ), άμε¬ 
σης ενημέρωσης των αρμόδιων λειτουργικών μονάδων 
(Εσωτερικός Έλεγχος, Διαχείριση Κινδύνων) και της Διοί¬ 
κησης. 

11. επαρκείς διαδικασίες διαχείρισης αντιγράφων 
ασφαλείας (λεπτομερής αναφορά στο κεφάλαιο Γ4). 

12. ειδικότερα, για τα συστήματα καιτις υπηρεσίες Ηλε¬ 
κτρονικής Τραπεζικής: 

ί. επαρκής πληροφόρηση στο διαδικτυακό τόπο (ννεό 
είίθ) του ΠΙ, έτσι ώστε να μπορούν οι εν δυνάμει πελάτες 
τους να έχουν μια επαρκή γνώση γιατηνταυτότητατου ΠΙ 
και την εποπτεύουσα αρχή που παρέχει την άδεια λει¬ 
τουργίας, πριν πραγματοποιήσουν τις ηλεκτρονικές τους 
συναλλαγές. Επίσης, γνωστοποίηση του τρόπου με τον 
οποίο μπορούν να επικοινωνήσουν οι πελάτες με το σχε¬ 
τικό κέντρο υποστήριξης σε περίπτωση πάσης φύσεως 
προβλήματος, το ψηφιακό πιστοποιητικό του διαδικτυα¬ 
κού τόπου το οποίο θα πρέπει να έχει εκδοθεί από επίση¬ 
μη αρχή πιστοποίησης, πληροφορίες για την ασφαλή 
χρήση των παρεχομένων υπηρεσιών κ.α. 

ϋ. ενημέρωση των πελατών για την πολιτική εμπιστευτι¬ 
κότητας που εφαρμόζει το ΠΙ σε σχέση με τα προσωπικά 
τους δεδομένα. Η πληροφόρηση αυτή συνιστάται να πα¬ 
ρέχεται και μέσα από το διαδικτυακό τόπο του ιδρύματος. 
Παροχή επίσης στους πελάτες του δικαιώματος να αρνη- 
θούν την διάθεση - εκχώρηση σε τρίτους δεδομένων που 
τους αφορούν, για προώθηση προϊόντων ή άλλο λόγο. 
Τα δεδομένα των πελατών θα πρέπει να χρησιμοποιού¬ 
νται μόνον για τους σκοπούς για τους οποίους οι πελάτες 
γνωρίζουν ότι τα διαθέτουν. 

ίϋ. σαφής σήμανση στο διαδικτυακό τόπο του ΠΙ των 
συνδέσεων (ΙϊπΙο) με διαδικτυακούς τόπους άλλων εται¬ 
ρειών ή οργανισμών. Πρέπει να φαίνεται έκδηλα στον πε¬ 
λάτη ότι, όταν εγκαταλείπει το διαδικτυακό τόπο του ΠΙ, 
συνδέεται με μια εντελώς ξεχωριστή επιχειρηματική μο¬ 
νάδα ή άλλη νομική οντότητα. 

ίν. αυτοματοποιημένα συστήματα παρακολούθησης των 
συναλλαγών, τα οποία και θα βασίζουν την αποτελεσματι- 
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κή λειτουργία τους στη δημιουργία εκ μέρους του ΠΙ στα¬ 
τιστικών προτύπων κίνησης λογαριασμού για κάθε πελάτη. 
Τα συστήματα αυτά, με βάση τα διαμορφωμένα χαρακτη¬ 
ριστικά κίνησης των λογαριασμών των πελατών (ρΐΌΐίΙθδ), 
θα πρέπει να εντοπίζουν και να καταγράφουν ασυνήθιστες 
συναλλακτικές συμπεριφορές και να παράγουν, σε πραγ¬ 
ματικό χρόνο, προειδοποιητικά μηνύματα (αΙοιΤε) για την 
διερεύνηση ενδεχόμενων περιπτώσεων απάτης. 

ν. αποτελεσματική αντιμετώπιση των κινδύνων νομιμο¬ 
ποίησης εσόδων από παράνομες δραστηριότητες (ιπο- 
πογ Ιαυπάθπηρ) και χρηματοδότησης τρομοκρατίας. Οι 
συγκεκριμένοι κίνδυνοι στην ηλεκτρονική τραπεζική είναι 
ιδιαίτερα αυξημένοι λόγω της ευκολίας χρήσης των υπη¬ 
ρεσιών από οπουδήποτε και οποιαδήποτε χρονική στιγ¬ 
μή, της απρόσωπης φύσης των συναλλαγών και της αυ¬ 
τόματης διεκπεραίωσης τους. Ως εκτούτου, το ΠΙ θαπρέ- 
πει να μεριμνά για την εγκατάσταση αυτοματοποιημένων 
συστημάτων και εργαλείων διαχείρισης των συναλλαγών, 
τα οποία κατ’ ελάχιστον θα θέτουν όρια σε συγκεκριμένες 
ομάδες ή κατηγορίες συναλλαγών, θα παρέχουν τη δυ¬ 
νατότητα καθυστέρησης εκτέλεσης της συναλλαγής μέ¬ 
χρι την εξακρίβωση συγκεκριμένων στοιχείων (ϊΝΙθιέ & 
πηοηίΙοΓίηρ ΙοοΙδ/εγείΘπηε) κ.α. 

νί. δυνατότητα εύκολης προσπέλασης και επεξεργα¬ 
σίας στοιχείων παλαιότερων συναλλαγών, έτσι ώστε να 
γίνεται εφικτός ο εντοπισμός συναλλακτικών ιδιαιτεροτή¬ 
των και ανωμαλιών, για να διευκολύνεται η στοιχειοθέτη- 
ση αποδεικτικών στοιχείων και η επαρκής πληροφόρηση 
των εποπτικών αρχών, ειδικά στις περιπτώσεις απάτης 
και νομιμοποίησης εσόδων από παράνομες δραστηριό¬ 
τητες, παροχής επενδυτικών υπηρεσιών κ.λπ. 

νϋ. εγχειρίδια σε ηλεκτρονική ή έντυπη μορφή, τα οποία 
θα ενημερώνουν τους πελάτες για τον τρόπο χρήσης των 
συστημάτων με έμφαση σε θέματα ασφάλειας. Επιπλέον, 
το ΠI θα πρέπει να εφοδιάζει τους χρήστες με πρακτικές 
ασφαλούς χρήσης των προσωπικών υπολογιστών μέσω 
των οποίων προσπελαύνονται ορισμένα συστήματα ηλε¬ 
κτρονικής τραπεζικής και ηλεκτρονικών πληρωμών. Στις 
πρακτικές αυτές θα πρέπει να γίνεται αναφορά μεταξύ 
άλλων σε θέματα προστασίας από ιούς και άλλο κακό¬ 
βουλο λογισμικό ασφαλούς αποθήκευσης και χρήσης 
προσωπικών κωδικών (ειδικά σε υπολογιστές κοινής χρή¬ 
σης οι οποίοι γενικά θα πρέπει να αποφεύγονται για τέ¬ 
τοια χρήση) κ.α. 

νίϋ. επαρκείς διαδικασίες ασφάλειας με έμφαση στη πι¬ 
στοποίηση των συναλλασσομένων μερών (ψηφιακό πι¬ 
στοποιητικό διαδικτυακού τόπου ΠΙ, πιστοποίηση δύο 
επιπέδων για τον πελάτη, με χρήση ψηφιακών πιστοποιη¬ 
τικών, Τ.Α.Ν. Ιίδίδή άλλης μεθόδου), τη μη αποποίηση των 
συναλλαγών, την κρυπτογράφηση της επικοινωνίας, την 
ασφάλεια των συναλλαγών (αποδεικτικά στοιχεία επιτυ¬ 
χούς ολοκλήρωσης, αποσύνδεση σε περίπτωση ανενερ¬ 
γού χρήστη, εντοπισμός ύποπτων συναλλαγών κ.λπ.), και 
τέλος τη λειτουργία των συστημάτων που υποστηρίζουν 
τις εν λόγω υπηρεσίες σε ειδικές περιοχές του δικτύου 
που παρέχουν υψηλή προστασία από κακόβουλες ενέρ¬ 
γειες εσωτερικών ή εξωτερικών χρηστών. 

Γ2. Φυσική Ασφάλεια 

Ο όρος «Φυσική Ασφάλεια» αναφέρεται στα μέτρα που 
πρέπει να λαμβάνονται για την προστασία των συστημά¬ 
των και της υποδομής που τα υποστηρίζει, από κινδύνους 
που προέρχονται από το περιβάλλον. Ανάλυση κινδύνων 
είναι απαραίτητο να προηγείται της λήψης μέτρων, αφού 


οι απαιτήσεις φυσικής ασφάλειας δεν είναι δυνατόν να εί¬ 
ναι οι ίδιες για όλες τις περιοχές και χώρους που στεγά¬ 
ζουν συστήματα, ούτε και η κρισιμότητα των συστημάτων 
είναι η ίδια μέσα σε μια συγκεκριμένη περιοχή ή χώρο. 

Στα μέτρα φυσικής ασφάλειας πρέπει τουλάχιστον να 
περιλαμβάνονται: 

1. μηχανισμοί ελέγχου φυσικής πρόσβασης (ΡύγείοαΙ 
Αοοθ55 ΟοηίΓοΙε). Τέτοιοι μηχανισμοί πρέπει να περιορί¬ 
ζουν, να ελέγχουν και να καταγράφουν, αφ’ ενός μεν την 
είσοδο και την έξοδο του προσωπικού και των επισκε¬ 
πτών, αφ’ ετέρου δε τη διακίνηση μηχανογραφικού εξο¬ 
πλισμού και αποθηκευτικών μέσων. Μηχανισμοί ελέγχου 
φυσικής πρόσβασης θα πρέπει να υφίστανται, όχι μόνο σε 
χώρους που στεγάζουν μηχανογραφικό εξοπλισμό, αλλά 
και σε χώρους ή σημεία στα οποία υπάρχουν καλωδιώ¬ 
σεις που συνδέουν κρίσιμα συστήματα, υποστηρικτικές 
συσκευές (π.χ. μονάδες παροχής αδιάλειπτης τάσης, 
γεννήτριες), μαγνητικά μέσα στα οποία φυλάσσονται αρ¬ 
χεία, κ.λπ. Επιπλέον, η υλοποίηση τέτοιων μηχανισμών 
δεν θα πρέπει να περιορίζεται μόνο στους χώρους των 
μηχανογραφικών κέντρων, αλλά να επεκτείνεται και 
οπουδήποτε αλλού υπάρχει η σχετική ανάγκη (τοπικά συ¬ 
στήματα καταστημάτων και διευθύνσεων). Το είδος των 
μηχανισμών ελέγχου που υλοποιούνται θα πρέπει να κα¬ 
θορίζεται από την κρισιμότητα των συστημάτων που κα¬ 
λούνται να προστατεύσουν. 

2. μηχανισμοί πρόληψης και αντιμετώπισης καταστρο¬ 
φών από φυσικά αίτια. 

3. μηχανισμοί πρόληψης και αντιμετώπισης κακόβου¬ 
λων ενεργειών (διάρρηξη / κλοπή, βανδαλισμός, τρομο¬ 
κρατική ενέργεια, κ.λπ.). Οι συγκεκριμένοι κίνδυνοι, όπως 
και οι κίνδυνοι από φυσικά αίτια, εκτός του ότι μπορεί να 
προκαλέσουν ολοσχερή καταστροφή των συστημάτων 
και των δικτύων, είναι δυνατό να διακυβεύσουν τις ζωές 
του προσωπικού. 

4. μηχανισμοί πρόληψης και αντιμετώπισης προβλημά¬ 
των από διακοπή λειτουργίας και παροχής υπηρεσιών ή 
βλάβη υποστηρικτικών συσκευών. Τα συστήματα είναι 
απαραίτητο να λειτουργούν σε ένα αποτελεσματικά υπο- 
στηριζόμενο τεχνικά περιβάλλον. 

5. η αποτελεσματική διαχείριση της τηλεπικοινωνιακής 
και δικτυακής καλωδίωσης για την αντιμετώπιση θέματα 
φθοράς, παρεμβολών και έλλειψης κατάλληλης σήμαν¬ 
σης. 

6. μηχανισμοί ασφάλειας φορητών συστημάτων. Η χρή¬ 
ση των φορητών υπολογιστών και οποιωνδήποτε άλλων 
φορητών συστημάτων θα πρέπει να λαμβάνεται σοβαρά 
υπόψη στην ανάλυση κινδύνων. Φορητοί υπολογιστές 
που αποθηκεύουν ευαίσθητα εταιρικά δεδομένα θα πρέ¬ 
πει, αφ’ ενός μεν να φυλάσσονται σε ασφαλή σημεία όταν 
δεν είναι σε χρήση, αφ’ ετέρου δε να αποθηκεύουντα ευ¬ 
αίσθητα δεδομένα σε κρυπτογραφημένη μορφή. 

7. η ασφαλής μεταφορά και αποθήκευση των ευαίσθη¬ 
των εγγράφων και μαγνητικών μέσων. Στην πρώτη κατη¬ 
γορία ανήκουν οι διαβαθμισμένες αναφορές, οι εφεδρι¬ 
κοί κωδικοί εισόδου των διαχειριστών συστημάτων, τα 
συνθηματικά των πελατών μέχρι να τους αποσταλούν, η 
τεκμηρίωση των συστημάτων και εφαρμογών, τα Σχέδια 
Συνέχειας Εργασιών και Ανάκαμψης από Καταστροφή, 
κα. Στην δεύτερη ανήκουν τα εφεδρικά αντίγραφα αρ¬ 
χείων, το πλαστικό υλικό των καρτών συναλλαγών κ.λπ. 

8. η επιλογή και κατάλληλη διαμόρφωση των χώρων με 
σκοπό την ελαχιστοποίηση των προαναφερθέντων κινδύ- 
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νων, σε σχέση πάντοτε με τη χρήση για την οποία προο¬ 
ρίζονται και την κρισιμότητα των συστημάτων που στεγά¬ 
ζουν. 

Γ3. Λογική ασφάλεια 

Ο όρος «λογική ασφάλεια» αναφέρεται στο σύνολο των 
μέτρων που λαμβάνονται για τον περιορισμό της πρόσβα¬ 
σης στους πόρους των συστημάτων (εγείεπι ΓθεουΓΟθδ). 
Ως πόροιτων συστημάτων θεωρούνται ο μηχανογραφικός 
εξοπλισμός, τα δίκτυα, το λογισμικό και τα δεδομένα. Τα 
μέτρα που υλοποιούντην λογική ασφάλεια καθορίζουν όχι 
μόνον το «ποιος» ή «τι» (π.χ. πρόγραμμα) θα έχει πρόσβα¬ 
ση σε συγκεκριμένους πόρους του συστήματος, αλλά και 
το είδος της πρόσβασης που επιτρέπεται να έχει. Τα μέτρα 
αυτά μπορεί να είναι ενσωματωμένα στα λειτουργικά συ¬ 
στήματα, να υλοποιούνται σε προγράμματα εφαρμογών, 
σε συστήματα διαχείρισης βάσεων δεδομένων, σε συστή¬ 
ματα επικοινωνιών ή ακόμη να υλοποιούνται μέσω πρό¬ 
σθετων αυτόνομων πακέτων ασφάλειας. 

Για την διατήρηση ενός αποδεκτού επιπέδου λογικής 
ασφαλείας, κρίνεται σκόπιμο: 

(α) για την ασφάλεια των προσβάσεων στα συστήματα 

1. να έχουν όλοι οι χρήστες ένα μοναδικό ατομικό λογα¬ 
ριασμό πρόσβασης σε κάθε σύστημα και μόνο για τους 
πόρους εκείνους που δικαιούνται πρόσβαση, ώστε κάθε 
ενέργεια να χρεώνεται μονοσήμαντα. Ως εκ τούτου, κοι¬ 
νοί - ομαδικοί λογαριασμοί πρόσβασης δεν θα πρέπει να 
χρησιμοποιούνται, και όπου αυτό δεν είναι εφικτό, θα 
πρέπει οι ενέργειες των κατόχων των λογαριασμών αυ¬ 
τών να καταγράφονται και να ελέγχονται σχολαστικά. 

2. να υπάρχουν καταγεγραμμένες και εγκεκριμένες δια¬ 
δικασίες για τη διαχείριση των λογαριασμών πρόσβασης, 
τον καθορισμό και την αναθεώρηση των δικαιωμάτων που 
παρέχονται στον κάθε λογαριασμό για όλα τα στάδια της 
εργασιακής πορείας του ιδιοκτήτη του λογαριασμού (πρό¬ 
σληψη, μετακίνηση, αλλαγή αντικειμένου εργασίας, απο¬ 
χώρηση κ.λπ.). Να υπάρχει διαχωρισμός αρμοδιοτήτων 
στην έγκριση, υλοποίηση και έλεγχο των προσβάσεων. 

3. να καταγράφονται και να ελέγχονται συστηματικά οι 
ενέργειες που γίνονται με χρήση λογαριασμών πρόσβα¬ 
σης με προνομιακά δικαιώματα, όπως λογαριασμών δια¬ 
χειριστών συστημάτων και γενικά χρηστών με αυξημένα 
δικαιώματα. 

4. οι λογαριασμοί πρόσβασης να απενεργοποιούνται 
άμεσα μόλις παύουν να είναι απαραίτητοι ή σε περίπτωση 
σημαντικής παραβίασης των κανόνων ασφάλειας. 

5. να υπάρχει συγκεκριμένη διαδικασία που να προβλέ¬ 
πει τη δημιουργία προσωρινών λογαριασμών πρόσβασης, 
με καθορισμένο επίπεδο εξουσιοδοτήσεων, για συγκεκρι¬ 
μένες εργασίες ή για περιπτώσεις ανάγκης. Η χρήση των 
λογαριασμών αυτών θα πρέπει να ελέγχεται σχολαστικά, 
και μόλις εκλείψει η ανάγκη για την οποία δημιουργήθηκαν 
θα πρέπει να απενεργοποιούνται. 

6. να πιστοποιείται ο ιδιοκτήτης ενός λογαριασμού πρό¬ 
σβασης, κατά τη διαδικασία εισόδου του στο σύστη μα μέ¬ 
σω μιας διαδικασίας υψηλής ασφάλειας (όπως π.χ. κωδι¬ 
κός εισόδου, χρήση «έξυπνης» κάρτας, ψηφιακού πιστο¬ 
ποιητικού κλπ) 

7. να αλλάζονται άμεσα οι κωδικοί πρόσβασης που έχουν 
τεθεί από τις κατασκευάστριες εταιρείες σε κάθε νέο τε¬ 
χνολογικό εξοπλισμό μετά την παραλαβή του. 

8. οι κωδικοί πρόσβασης: 

• να δημιουργούνται και να γίνεται η διαχείρισή τους 
βάσει προτύπων και διαδικασιών 


• να είναι δύσκολα προβλέψιμοι 

• να διατηρούνται μυστικοί με ευθύνη των κατόχων 
τους 

• να αλλάζουν σε τακτική βάση και οπωσδήποτε την 
πρώτη φορά εισόδου του κατόχου τους στο σύστημα. Η 
αλλαγή των κωδικών να επιβάλλεται από το σύστημα, και 
να κρατείται ιστορικό αλλαγών για την αποφυγή επανά¬ 
ληψης των ίδιων κωδικών, εφόσον αυτό είναι εφικτό 

9. οι εφεδρικοί κωδικοίτων διαχειριστών συστημάτων ή 
λογαριασμών ειδικών προνομίων θα πρέπει να βρίσκονται 
αποθηκευμένοι σε ασφαλές σημείο, ώστε να μπορούν να 
χρησιμοποιηθούν βάσει ειδικής διαδικασίας σε περίπτω¬ 
ση έκτακτης ανάγκης. 

10. όπου κρίνεται αναγκαίο, οι κωδικοί πρόσβασης λο¬ 
γαριασμών ειδικών προνομίων θα πρέπει να μη φυλάσσο¬ 
νται ενιαίοι, αλλά σε τμήματα με ευθύνη διαφορετικών 
ατόμων. 

11. να χρησιμοποιείται - όπου είναι εφικτό - ειδικό λογι¬ 
σμικό διαχείρισης και ελέγχου των προσβάσεων. 

(β) για την προστασία των δεδομένων 

1. να υπάρχουν επαρκείς ενσωματωμένοι μηχανισμοί 
ελέγχου (οοπΐΓοΙε) των δεδομένων στα διάφορα συστή¬ 
ματα, και ειδικότερα, στην προετοιμασία, εισαγωγή, και 
επεξεργασία τους. 

2. να υπάρχει καταγεγραμμένη και εγκεκριμένη διαβάθ- 
μιση των δεδομένων σύμφωνα με το βαθμό ευαισθησίας 
τους και να προβλέπονται επιπλέον διαδικασίες ασφά¬ 
λειας των ευαίσθητων δεδομένων μέσω τεχνικών κρυπτο¬ 
γράφησης ή άλλων μεθόδων προστασίας. 

3. για την κρυπτογράφηση: 

• να καθορίζεται σαφώς το πότε και σε ποιο επίπεδο γί¬ 
νεται κρυπτογράφηση 

• να χρησιμοποιείται υψηλής ασφάλειας κλειδί κρυ¬ 
πτογράφησης σε όλο το λογισμικό 

• να αναπτύσσεται στρατηγική υποδομής Δημόσιου 
Κλειδιού Ρ.Κ.Ι. (ρυόΐίο ί<θγ ίηίΐ'αείΐ'υσίυΐ'θ) για τη διαχείριση 
των ψηφιακών πιστοποιητικών, κυρίως για την επικοινω¬ 
νία του ΠΙ με τους πελάτες του για παροχή υπηρεσιών 
ηλεκτρονικής τραπεζικής 

• να επιδιώκεται η συμμόρφωση με τους εθνικούς και 
διεθνείς κανονισμούς και πρακτικές κρυπτογράφησης 

4. να γίνονται οι απαραίτητες ενέργειες για τη συμμόρ¬ 
φωση με τη σχετική νομοθεσία και τους κανονισμούς 
Προστασίας Δεδομένων. 

5. να υπάρχει πολιτική σχετικά με την ενημέρωση των 
πελατών στην περίπτωση διαρροής εμπιστευτικών προ¬ 
σωπικών τους δεδομένων λόγω παραβίασης της ασφά¬ 
λειας των συστημάτων. 

6. για τις βάσεις δεδομένων: 

• να υπάρχει ολοκληρωμένη και ακριβής τεκμηρίωση 
της βάσης που να περιλαμβάνει τουλάχιστον τον λογικό 
σχεδίασμά, τον φυσικό σχεδίασμά και το λεξικό δεδομέ¬ 
νων 

• να γίνεται αναδιοργάνωση της βάσης σε τακτά χρονι¬ 
κά διαστήματα 

• να εξασφαλίζεται η καταχώρηση μόνο ολοκληρωμέ¬ 
νων συναλλαγών (οοηππιίί / ιόΙΙ03ο1<) 

(γ) Υια την προστασία των συστημάτων 

1. να υπάρχει εγκαταστημένο κατ’ ελάχιστο στα κρίσιμα 
συστήματα, και όπου αλλού είναι αναγκαίο ειδικό λογι¬ 
σμικό προστασίας από ιούς ή άλλο «κακόβουλο» λογισμι¬ 
κό. Το λογισμικό προστασίας θα πρέπει να ενημερώνεται 
σε συνεχή βάση και να είναι εγκαταστημένο με τέτοιο τρό- 
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πο ώστε να ενεργοποιείται αυτόματα και να μην μπορεί να 
απενεργοποιηθεί από τουςχρήστεςτων συστημάτων, πα¬ 
ρά μόνο από τον αρμόδιο διαχειριστή. 

2. να παρέχεται αποτελεσματική προστασία σε ευαί¬ 
σθητους πόρους των συστημάτων, όπως τα αρχεία συ¬ 
στήματος και εφαρμογών. 

3. να συντηρείται αρχείο με το εγκεκριμένο από το ΠΙ 
λογισμικό 

4. να απεγκαθίσταται ή να απενεργοποιείται σε κάθε σύ¬ 
στημα, κάθε λογισμικό ή λειτουργία που δεν κρίνεται απα¬ 
ραίτητη. 

5. να ενεργοποιούνται τουλάχιστον οι βασικές λειτουρ¬ 
γίες ελέγχου και καταγραφής (ευάίΐίπρ & Ιορρίπθ ΐυπο 
Ιίοπε) σε κάθε σύστημα και να παραμετροποιούνται κα¬ 
τάλληλα σε συνεργασία με τον εσωτερικό έλεγχο. 

6. να εξασφαλίζεται όπου αυτό είναι αναγκαίο, κατόπιν 
σχετικής εγκριτικής διαδικασίας, η συνεχής ενημέρωση 
των συστημάτων με τις τελευταίες εκδόσεις λογισμικού 
και ενημερώσεων σε θέματα ασφάλειας, ώστε να ελαχι¬ 
στοποιούνται οι αδυναμίες και τα τρωτά τους σημεία. 

7. να υπάρχουν καταγεγραμμένες διαδικασίες αποκα¬ 
τάστασης της ασφαλούς λειτουργίας ενός συστήματος 
σε περίπτωση που παραβιαστεί η ασφάλεια του. 

8. να προστατεύεται, όσο αυτό είναι εφικτό, το ηλε¬ 
κτρονικό ταχυδρομείο από πιθανούς κινδύνους αναξιόπι¬ 
στης γνησιότητας του αποστολέα, υποκλοπής ή και πα- 
ραποίησηςτου περιεχομένου, επικίνδυνων προσαρτημά¬ 
των, ανεπιθύμητων μηνυμάτων κ.λπ. 

9. να υπάρχουν περιορισμοί στις ενέργειες των χρη¬ 
στών του Διαδικτύου (π.χ. στις προσβάσεις σε συγκεκρι¬ 
μένους διαδικτυακούς τόπους, στη διακίνηση αρχείων 
κ.λπ.). 

10. να γίνεται συνεχής εκπαίδευση και ενημέρωση των 
χρηστών σε θέματα ασφαλούς λειτουργίας των συστη¬ 
μάτων. 

11. να προστατεύονται αποτελεσματικά τα κρίσιμα συ¬ 
στήματα από κακόβουλες ενέργειες εξωτερικών ή εσω¬ 
τερικών χρηστών. Προς αυτή την κατεύθυνση οφείλουν 
να υλοποιούνται διάφορες τεχνικές, όπως: 

• η χρήση ειδικών συστημάτων (ίίΓθνναΙΙε, ίίΙΐΘπηρ 
ΓουίΘΓε κλπ), τα οποία, ως σημεία ελέγχου των προσβά¬ 
σεων, θα ρυθμίζουν και θα ελέγχουν την επικοινωνία από 
και προς περιοχές του δικτύου οι οποίες είναι συνήθως 
εκτεθειμένες σε αυξημένους κινδύνους 

• η δημιουργία στο δίκτυο ειδικών περιοχών (ΟθγπΜ- 
ίΐεπζθά Ζοπθε - ϋΜΖ), ανάμεσα σε σημεία ελέγχου προ¬ 
σβάσεων, οι οποίες να λειτουργούν σαν απομονωμένο δί¬ 
κτυο για τα προσβάσιμα από εσωτερικούς ή εξωτερικούς 
χρήστες συστήματα του ΠΙ, προστατεύοντας έτσι αποτε¬ 
λεσματικά το υπόλοιπο δίκτυο από κακόβουλες ενέργειες 

(δ) για την ασφάλεια της δικτυακής υποδομής και των 
επικοινωνιών 

1. να είναι σαφώς καθορισμένες, καταγεγραμμένες και 
ελεγχόμενες οι δίοδοι επικοινωνίας (ραΐενναγε) με εξωτε¬ 
ρικά δίκτυα. 

2. να εκτιμάται η δυνατότητα κατάτμησης (εβρπίΘΠ- 
Ιαίίοπ) του δικτύου σε ελεγχόμενα επί μέρους υποδίκτυα 
για τον καλύτερο έλεγχο των προσβάσεων. 

3. να μην παραμένουν ανοιχτές λογικές θύρες επικοι¬ 
νωνίας (ροάε) σε κάθε συσκευή του δικτύου, επιπλέον 
όσων έχουν καθοριστεί σαφώς ως αναγκαίες για τις υπη¬ 
ρεσίες που υποστηρίζουν και αφού έχει συνεκτιμηθεί ο 
συνεπαγόμενος κίνδυνος από τη λειτουργία τους. 


4. να περιορίζεται και να ελέγχεται επαρκώς η πρόσβα¬ 
ση στις ειδικές λειτουργίες διαχείρισης και ελέγχου του 
δικτύου. 

5. να υπάρχει αποτελεσματική διαχείριση των παραμε¬ 
τροποιήσεων των συσκευών του δικτύου. 

6. να υπάρχει η δυνατότητα εντοπισμού από το διαχει¬ 
ριστή του δικτύου λειτουργίας μη εξουσιοδοτημένων συ¬ 
σκευών. 

7. να περιορίζονται στα απολύτως απαραίτητα τα ση¬ 
μεία πρόσβασης στο δίκτυο τα οποία βρίσκονται σε χώ¬ 
ρους μη ελεγχόμενης φυσικής πρόσβασης, και εφόσον 
δε χρησιμοποιούνται να είναι ανενεργό. 

8. να περιορίζεται και να ελέγχεται συστηματικά η δυ¬ 
νατότητα ασύρματης σύνδεσης χρηστών στο δίκτυο, 
ώστε να αποτρέπεται η παρείσφρηση μη εξουσιοδοτημέ¬ 
νων χρηστών σε αυτό. 

9. να μην παρέχεται η δυνατότητα απομεμακρυσμένης 
πρόσβασης στο δίκτυο, και όπου κρίνεται αναγκαία τέ¬ 
τοια πρόσβαση, να καταγράφεται και να ελέγχεται συ¬ 
στηματικά. Ειδικότερα, σε περίπτωση πρόσβασης στο δί¬ 
κτυο χρηστών μέσω τηλεφωνικής σύνδεσης (άίαΙ υρ), αυ¬ 
τή να πραγματοποιείται κατόπιν διαδικασίας επιστροφής 
κλήσης (οαΙΙ ό3θΙ<) ή άλλης κατάλληλης μεθόδου επαλή¬ 
θευσης του καλούντος. 

10. να χρησιμοποιούνται τα κατάλληλα πρωτόκολλα 
επικοινωνίας ανάλογα με το είδος των δεδομένων που με¬ 
ταδίδοντας αντιμετωπίζοντας αποτελεσματικά θέματα 
διαχείρισης και ασφάλειας τους. 

11. να εξασφαλίζεται η εμπιστευτικότητα και η ακεραιό¬ 
τητα των δεδομένων που μεταδίδονται μέσω του δικτύου 
καθ’ όλη τη διαδρομή τους σε αυτό. 

12. να γίνεται χρήση ειδικών εργαλείων λογισμικού για 
τον εντοπισμό κενών ασφαλείας ή σημείων μειωμένης 
ασφάλειας στο δίκτυο (νυΙηθΓΒόίΠΙγίΘδΙδ). 

13. να υπάρχουν διαδικασίες και συστήματα παρακο¬ 
λούθησης, αποτροπής και αντιμετώπισης προσπαθειών 
παρείσφρησης στο δίκτυο ή γενικότερα προσπαθειών 
παραβίασης της ασφάλειας του δικτύου (ίπίΓυείοπ άθΐθο- 
Ιίοη/ρΓθνθηΙίοπ εγείθηιε). 

14. να διενεργούνται σε τακτική βάση, από ειδικευμένες 
εταιρίες, δοκιμαστικές απόπειρες παραβίασης της ασφά¬ 
λειας του δικτύου (ρθΠθίΓ3ΐίοη ΙβεΙε), βάσει καθορισμέ¬ 
νων σεναρίων, με στόχο την αξιολόγηση της επάρκειας 
της ασφάλειας του δικτύου. 

Γ4. Σχέδια Συνέχειας Εργασιών & Ανάκαμψης από Κα¬ 
ταστροφή 

Το ΠΙ πρέπει να διαθέτει εγκεκριμένα από τη Διοίκηση 
Σχέδια Συνέχειας Εργασιών (ΣΣΕ) για τα Πληροφοριακά 
Συστήματα, ενταγμένα στα γενικότερα εταιρικά ΣΣΕ, 
έτσι ώστε να εξασφαλίζεται η συνέχεια των κρισιμότερων 
λειτουργιών τους. Επιπλέον, το ΠΙ πρέπει να διαθέτει 
αποτελεσματικά Σχέδια Ανάκαμψης από Καταστροφή 
(ΣΑΚ) που θα εφαρμόζονται στις περιπτώσεις καταστρο¬ 
φικών συμβάντων που μπορεί να προκαλέσουν παρατε- 
ταμένη διακοπή της λειτουργίας ενός κρίσιμου συστή¬ 
ματος, ή ακόμη και ολόκληρου του μηχανογραφικού κέ¬ 
ντρου. 

Της δημιουργίας ΣΣΕ και ΣΑΚ θα πρέπει να προηγού¬ 
νται διαδικασίες ανάλυσης επιχειρηματικών επιπτώσεων 
(όυείηΘεε ίπιρΒοί 3Π3ΐγδίδ) και ανάλυσης κινδύνων (πδΙ< 
3δδθδδπΐθηΐ). Βάσει αυτών: 

• θα προσδιορίζονται όλες οι κρίσιμες λειτουργίες κα¬ 
θώς και τα συστήματα-πόροι που χρησιμοποιούν 
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• θα προσδιορίζονται όλοι οι κίνδυνοι που απειλούν τις 
κρίσιμες λειτουργίες και θα κατατάσσονται σύμφωνα με 
την πιθανότητα εμφάνισης τους και τις πιθανές επιπτώ¬ 
σεις τους στα συστήματα και τις λειτουργίες 

• θα σταθμίζεται το λειτουργικό κόστος από ενδεχόμε¬ 
νη διακοπή των κρίσιμων λειτουργιών και το κόστος ενερ¬ 
γοποίησης του ΣΣΕ &ΣΑΚγια να προσδιορίζονται οι συν¬ 
θήκες που θα θέτουν σε εφαρμογή το αντίστοιχο σχέδιο 

• θα προσδιορίζεται ο χρόνος ανάκαμψηςτων κρίσιμων 
λειτουργιών - συστημάτων (ΐ'θοονοΓγΙίηηθ) αλλά και το ση¬ 
μείο ανάκαμψης (ΐΌοονθί-γ ροίπΐ), δηλαδή σε πόσο χρόνο 
και σε ποια εικόνα χρονικά θα επανέλθουν τα συστήματα 
μετά την ανάκαμψη 

Πρώτο επίπεδο εξασφάλισης συνέχειας εργασιών θεω¬ 
ρείται η ύπαρξη σχεδίου λήψης και διαχείρισης αντιγρά¬ 
φων ασφαλείας του λογισμικού, των παραμέτρων λει¬ 
τουργίας και των δεδομένων, καθώς και η ύπαρξη του 
αναγκαίου εφεδρικού εξοπλισμού, συσκευών παροχής 
αδιάλειπτης τάσης, ηλεκτρογεννητριών κ.λπ., στους χώ¬ 
ρους λειτουργίας των συστημάτων. 

Με στόχο την εξασφάλιση της γρήγορης και επιτυχούς 
ανάκτησης των δεδομένων και του λογισμικού, θα πρέπει 
για τα αντίγραφα ασφαλείας να υφίστανται συγκεκριμέ¬ 
νες διαδικασίες: 

• δημιουργίας με συχνότητα που υπαγορεύεται από τη 
κρισιμότητα των πληροφοριών 

• ασφαλούς φύλαξης στο χώρο των συστημάτων 

• ασφαλούς μεταφοράς και φύλαξης σε απομεμακρυ- 
σμένο χώρο των επιπλέον αντιγράφων 

• δοκιμών για τη διασφάλιση της ακεραιότητας των δε¬ 
δομένων 

• αρχειοθέτησης με αναγραφή στα μέσα αποθήκευσης 
του περιεχομένου και του χρόνου αποθήκευσης των δε¬ 
δομένων 

• ανακύκλωσης των μαγνητικών μέσων. 

Σε δεύτερο επίπεδο, ένα ολοκληρωμένο και αποτελε¬ 
σματικό ΣΣΕ δι ΣΑΚ για τα ΠΣ, συνιστάται: 

1. να είναι γραμμένο σε απλή και κατανοητή γλώσσα και 
να κοινοποιείται επίσημα σε όλο το προσωπικό. Τυχόν 
διαβαθμισμένεςπληροφορίεςτουσχεδίου (όπωςπ.χ. κω¬ 
δικοί, κλείδες ασφαλείας κ.λπ.), θα πρέπει να γνωστοποι¬ 
ούνται μόνο σε εξουσιοδοτημένο προσωπικό. 

2. αντίγραφο του να φυλάσσεται σε κατάλληλο χώρο σε 
ασφαλή απόσταση από το μηχανογραφικό κέντρο. 

Ένα τέτοιο σχέδιο θα πρέπει να περιλαμβάνει: 

3. κατάταξη των συστημάτων βάση λειτουργικής ανά¬ 
γκης. Στην κατάταξη αυτή θα πρέπει, μεταξύ άλλων, να 
αναφέρεται ο χρόνος που απαιτείται για την ανάκτηση 
(τθοονθΓγ Ιιιτίθ) του κάθε συστήματος καθώς και η ελάχι¬ 
στη εκτιμώμενη απόδοση του μετά την ανάκτηση. 

4. τη σαφή ιεραρχική δομή των στελεχών που συμμετέ¬ 
χουν στην εφαρμογή του, τις αρμοδιότητές τους, καθώς 
και τους υπεύθυνους λήψης αποφάσεων σε κάθε ομάδα 
έκτακτης ανάγκης. 

5. τις διαδικασίες εκτίμησης του εύρους της καταστρο¬ 
φής, με βάση τις οποίες προσδιορίζονται επακριβώςτατμή- 
ματα του σχεδίου τα οποία θα πρέπει να ενεργοποιηθούν. 

6. τις διαδικασίες ενεργοποίησης του σχεδίου, ειδοποί¬ 
ησης των στελεχών και κινητοποίησης των ομάδων έκτα¬ 
κτης ανάγκης. 

7. τις ενέργειες που θα εκτελούνται σε συγκεκριμένες 
επείγουσες καταστάσεις, οι οποίες μεταξύ των άλλων θα 
πρέπει να διασφαλίζουν το προσωπικό σε περίπτωση κιν¬ 
δύνου / καταστροφής (π.χ. φωτιά, σεισμός κ.λπ.). 


8. τους εναλλακτικούς χώρους εργασίας των χρηστών, 
τον εξοπλισμό που θα χρησιμοποιηθεί, καθώς και τις 
απαιτούμενες προδιαγραφές τους. 

9. τις διαδικασίες προετοιμασίας και ενεργοποίησης 
του εναλλακτικού μηχανογραφικού κέντρου. 

10. τα συστήματα του εναλλακτικού κέντρου, την υπο¬ 
δομή τους καθώς και την τοπολογία δικτύου. 

11. λίστα προμηθευτών με τους οποίους υπάρχουν συμ¬ 
βάσεις, οι υπηρεσίες που αυτοί προσφέρουν και οι ανα¬ 
μενόμενοι χρόνοι απόκρισης τους σε περίπτωση έκτα¬ 
κτης ανάγκης. 

12. τις διαδικασίες που εξασφαλίζουν ότι τα σχέδια συ¬ 
ντηρούνται, προσαρμόζονται και ενημερώνονται σε κάθε 
αλλαγή στις διαδικασίες λειτουργίας του ΠΙ. 

13. τις διαδικασίες εκπαίδευσης του προσωπικού σύμ¬ 
φωνα με τις αρμοδιότητες που αναλαμβάνουν κατά την 
υλοποίηση του Σχεδίου. 

14. τις διαδικασίες εκτέλεσης δοκιμών, σύμφωνα με τις 
οποίες: 

• θα προσδιορίζεται η συχνότητά τους (κατ’ ελάχιστο 
μία φορά το χρόνο) 

• θα υπάρχουν σαφείς στόχοι έκτων προτέρων, είτε για 
την εξέταση συγκεκριμένων υποσυστημάτων, είτε για την 
εξέταση του συστήματος στο σύνολο του. Η εκτέλεση δο¬ 
κιμών της τελευταίας κατηγορίας συνιστάται να περιλαμ¬ 
βάνει την πλήρη κάλυψη όλων των κρίσιμων λειτουργιών 
όπως αναγράφονται στο σχέδιο και να κάνει αποκλειστι¬ 
κή χρήση του εναλλακτικού χώρου, του εξοπλισμού και 
των εφεδρικών αντιγράφων 

• θα διεξάγονται υπό συνθήκες που θα προσομοιώνουν 
περιπτώσεις έκτακτης ανάγκης 

• θα εξασφαλίζεται η συμμετοχή του εσωτερικού ελέγχου 

• θα συντάσσεται έκθεση των αποτελεσμάτων μετά την 
ολοκλήρωση των δοκιμών 

• θα γίνονται οι απαραίτητες διορθώσεις στα σχέδια 
για όλα τα προβλήματα που διαπιστώνονται 

• θα λαμβάνει γνώση των αποτελεσμάτων η Διοίκηση 
και η Επιτροπή Ελέγχου Τέλος, θα πρέπει: 

15. να εξασφαλίζειτην αποτελεσματική λειτουργία εναλ¬ 
λακτικού μηχανογραφικού κέντρου, το οποίο θα πρέπει να 
βρίσκεται σε κατάλληλη απόσταση, ώστε να μην επηρεά¬ 
ζεται από τους ίδιους κινδύνους που μπορεί να πλήξουντο 
κύριο μηχανογραφικό κέντρο. Το εναλλακτικό κέντρο θα 
πρέπει να διαθέτει κατάλληλο (εφεδρικό) εξοπλισμό που 
να παρέχει όλες τις κρίσιμες υπηρεσίες στους χρόνους 
που έχουν προκαθοριστεί, καθώς και τα εγχειρίδια των 
διαδικασιών και χρήσης των συστημάτων. Επιπλέον, θα 
πρέπει να επιτρέπει την απρόσκοπτη χρήση των εναλλα¬ 
κτικών μέσων μέχρι τη στιγμή της επαναφοράς των λει¬ 
τουργιών στο κύριο μηχανογραφικό κέντρο. 

16. να διασφαλίζει τη φυσική ασφάλεια του εναλλακτι¬ 
κού κέντρου, καθώς και ένα βασικό επίπεδο λογικής 
ασφάλειας κατά την εφαρμογή του σχεδίου. 

17. να φροντίζει για την ασφαλιστική κάλυψη του ΠΙ απέ¬ 
ναντι σε κινδύνους που είναι δυνατόν να προκαλέσουν δια¬ 
κοπή της λειτουργίας των Πληροφοριακών Συστημάτων. 

18. σε περίπτωση που οι χώροι λειτουργίας του εναλ¬ 
λακτικού κέντρου, ο εξοπλισμός ή οι υπηρεσίες παρέχο¬ 
νται από τρίτους: 

• να προνοεί, μέσω κατάλληλων συμβάσεων, για την 
αποτελεσματική συνέχεια των εργασιών σε περίπτωση 
καταστροφής που θα πλήξει ταυτόχρονα πολλούς οργα¬ 
νισμούς οι οποίοι εξυπηρετούνται από τον ίδιο πάροχο 
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• να φροντίζει για την ενημέρωση του παρόχου για τυ¬ 
χόν αλλαγές στα συστήματα που πιθανό να απαιτήσουν 
αντίστοιχες προσαρμογές - ενημερώσεις στα ΣΑΚ 

Δ. ΕΛΕΓΧΟΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ 

Μια αποτελεσματική ελεγκτική λειτουργία για τα Πλη¬ 
ροφοριακά Συστήματα θα πρέπει να εστιάζεται στους κιν¬ 
δύνους που απορρέουν από την ανάπτυξη, ενσωμάτωση 
και λειτουργία τους, να εξετάζει την επάρκεια των ελε¬ 
γκτικών μηχανισμών (σοπίτοίε) και διαδικασιών, και να 
προτείνει, όπου χρειάζεται, τις κατάλληλες τροποποιή¬ 
σεις. Επιπλέον, θα πρέπει να αξιολογείτο βαθμό συμμόρ¬ 
φωσης με την επιχειρησιακή στρατηγική και τις καταγε- 
γραμμένες επιχειρησιακές πολιτικές, τα πρότυπα και τις 
διαδικασίες, και να παρακολουθεί το βαθμό συμμόρφω¬ 
σης μετις διαπιστώσειςτωνπορισμάτωντων ελέγχων. Τέ¬ 
λος θα πρέπει να υπάρχει ολοκληρωμένη εικόνα για τη 
λειτουργία των Πληροφοριακών Συστημάτων ώστε να δί¬ 
νεται η δυνατότητα επαρκούς ενημέρωσης σε τακτική βά¬ 
ση της Επιτροπής Ελέγχου. 

Για τους λόγους αυτούς, η υπηρεσιακή μονάδα του 
Εσωτερικού Ελέγχου θα πρέπει: 

1. να διαθέτει την τεχνογνωσία, την ποιοτική και ποσοτι¬ 
κή επάρκεια προσωπικού, μέσων και διαδικασιών για τη 
διενέργεια εξειδικευμένων ελέγχων στα Πληροφοριακά 
Συστήματα. Η τεχνογνωσία και η εκπαίδευση του προσω¬ 
πικού θα πρέπει να είναι τέτοιες ώστε να καλύπτονται 
ελεγκτικά οι τρέχουσες και οι μελλοντικές μηχανογραφι¬ 
κές λειτουργίες του ΠΙ. 

2. να καταρτίζει και να υλοποιεί ελεγκτικό πρόγραμμα 
το οποίο θα βασίζεται σε ανάλυση κινδύνων που έχει διε- 
νεργηθεί στα Πληροφοριακά Συστήματα αλλά και σε ευ¬ 
ρήματα προγενέστερων ελέγχων. 

3. να ακολουθεί καταγεγραμμένες διαδικασίες σχεδια- 
σμού, οργάνωσης και διενέργειας των ελέγχων, συγγρα¬ 
φής των πορισμάτων καθώς και διαδικασίες επανελέγχου 
(ΐοΙΙονν-υρ). Οι διαδικασίες αυτές, τα κάθε είδους ερωτη¬ 
ματολόγια που χρησιμοποιούνται στους εξειδικευμένους 
ελέγχους, καθώς και η χρησιμοποιούμενη μεθοδολογία 
ανάλυσης μηχανογραφικών κινδύνων, θα πρέπει να απο¬ 
τελούν την επίσημη τεκμηρίωση της λειτουργίας του 
ελέγχου των Πληροφοριακών Συστημάτων. 

4. να παρακολουθεί τα θέματα που αφορούν στα Πλη¬ 
ροφοριακά Συστήματα του ΠΙ, ώστε να διαμορφώνει ει¬ 
κόνα για τους κινδύνους που υπάρχουν ή ενδέχεται να 
ανακύψουν. Για τη διαμόρφωση όσο το δυνατόν πληρέ- 
στερης εικόνας, συνιστάται η παρακολούθηση της λει¬ 
τουργίας των Πληροφοριακών Συστημάτων μέσω ειδικών 
προσβάσεων, η συμμετοχή στις διάφορες επιτροπές έρ¬ 
γων και η ύπαρξη διαδικασιών και μηχανισμών άμεσης 
ενημέρωσης του εσωτερικού ελέγχου στις περιπτώσεις 
εμφάνισης σημαντικών προβλημάτων και εκτάκτων περι¬ 
στατικών. 

5. να κάνει χρήση - ανάλογα με την περίπτωση - ειδικού 
ελεγκτικού λογισμικού για τον αποτελεσματικότερο έλεγ¬ 
χο της ασφάλειας των συστημάτων και της ακεραιότητας 
των δεδομένων τους. 


6. να συμμετέχει στη φάση σχεδιασμού των συστημά¬ 
των για τη διαμόρφωση των κατάλληλων δικλείδων ασφα¬ 
λείας, των ελεγκτικών αρχείων καταγραφής και αναφο¬ 
ρών που παράγονται για τη διευκόλυνση του ελέγχου, κα¬ 
θώς και στη φάση των δοκιμών. 

7. να ελέγχει και να αξιολογεί τις διαδικασίες παραγω¬ 
γής των στοιχείων που υποβάλλονται στη Διοίκηση του ΠΙ 
και τις Εποπτικές Αρχές, ώστε να διασφαλίζεται η πληρό¬ 
τητα και ακρίβεια τους. 

8. να μεριμνά για την άμεση και πλήρη ενημέρωση, στις 
περιπτώσεις σοβαρών προβλημάτων και έκτακτων περι¬ 
στατικών στα Πληροφοριακά Συστήματα (περιπτώσεις 
απάτης, παραβίασης της ασφάλειας σημαντικών συστη¬ 
μάτων, μη διαθεσιμότητας κρίσιμων συστημάτων, ενερ¬ 
γοποίησης Σχεδίων Ανάκαμψης από Καταστροφή), της 
αρμόδιας υπηρεσιακής μονάδας της Διεύθυνσης Επο- 
πτείας Πιστωτικού Συστήματος της Τράπεζας της Ελλά¬ 
δος, σύμφωνα μετις ισχύουσες διατάξεις. 

9. να ελέγχει και να αξιολογεί την επάρκεια και συμμόρ¬ 
φωση με τις διαδικασίες που διέπουν τις φάσεις συνερ¬ 
γασίας του ΠΙ (επιλογή συνεργάτη, σύναψη και τήρηση 
συμβολαίου, ποιότητα παρεχόμενων υπηρεσιών) με προ¬ 
μηθευτές και παρόχους μηχανογραφικών υπηρεσιών βά¬ 
σει των προαναφερθέντων στην ενότητα Α3. 

10. να επιβλέπει το ελεγκτικό έργο στα πληροφορικής 
σε επίπεδο ομίλου. Για το σκοπό αυτό οφείλει να διατηρεί 
διαύλους επικοινωνίας με στόχο την αποτελεσματική συ¬ 
νεργασία με τις διοικήσεις και τον εσωτερικό έλεγχο των 
θυγατρικών και του δικτύου καταστημάτων εξωτερικού. 
Να αξιολογεί την επάρκεια του ελεγκτικού έργου μέσω 
περιοδικών αναφορών ή και συμμετοχής του στις επιτρο¬ 
πές ελέγχου των θυγατρικών, ειδικά σε αυτές που το μέ¬ 
γεθος και η πολυπλοκότητα των συστημάτων το καθι¬ 
στούν αναγκαίο. Να αξιολογεί την επάρκεια των διενερ- 
γούμενων εξειδικευμένων ελέγχων από εσωτερικούς και 
εξωτερικούς ελεγκτές. Να προβαίνει σε γενικούς ή ειδι¬ 
κούς ελέγχους ανά περίπτωση, για την κάλυψη των ελε¬ 
γκτικών αναγκών που είτε δεν καλύπτονται επαρκώς από 
τον εσωτερικό έλεγχο των εν λόγω μονάδων, είτε κρίνο- 
νται απαραίτητοι από τη σχετική ανάλυση κινδύνων. 

11. να μελετά, αξιολογεί και εφαρμόζει, όπου κρίνει 
πρόσφορο, τα διεθνή πρότυπα και μεθοδολογίες ελέγχου 
Πληροφοριακών Συστημάτων. 

Σε ό,τι αφορά στους ελέγχους που ανατίθενται σε εξω¬ 
τερικούς ελεγκτές, το ΠΙ θα πρέπει: 

να διαθέτει πολιτική για το εύρος και το ρόλο του εξω¬ 
τερικού ελέγχου στα Πληροφοριακά Συστήματα, καθώς 
και διαδικασίες αξιολόγησης των προσφερομένων υπη¬ 
ρεσιών. Η πολιτική θα πρέπει να τεκμηριώνει τις περιπτώ¬ 
σεις που ο εξωτερικός έλεγχος δρα, είτε παράλληλα με 
τον εσωτερικό προσφέροντας μία επιπλέον εξειδικευμέ- 
νη άποψη, είτε συμπληρωματικά προκειμένου να καλύψει 
εξειδικευμένες ελεγκτικές απαιτήσεις όπου δεν υπάρχει 
η δυνατότητα να καλυφθούν εσωτερικά, ή και με τους δύο 
τρόπους. 


ΑΠΟ ΤΟ ΕΘΝΙΚΟ ΤΥΠΟΓΡΑΦΕΙΟ 




